Kali Linux Web渗透测试手册(第二版) - 1.2 - Firefox浏览器下安装一些常用的插件

翻译来自掣雷小组

成员信息:

thr0cyte,Gr33k,花花,小丑,R1ght0us,7089bAt,

第一章内容大纲

一.配置KALI Linux和渗透测试环境

在这一章,我们将覆盖以下内容:

  • 1.1 在Windows和Linux上安装VirtualBox
  • 1.1 创建一个Kali Linux虚拟机
  • 1.1 更新和升级Kali Linux
  • 1.2 为渗透测试配置web浏览器(即在Firefox浏览器下安装一些常用的插件)
  • 创建一个属于自己的靶机
  • 配置网络使虚拟机正常通信
  • 了解靶机上易受攻击的web应用程序

1.2、为渗透测试配置web浏览器(即在Firefox浏览器下安装一些常用的插件)

大多数web渗透测试都是在客户端进行的,也就是在web浏览器中。因此,我们需要配置我们的浏览器,使它成为一个对我们有用的工具。在这个“秘籍”中,我们将添加几个插件到默认安装在Kali Linux中的Firefox浏览器上。

怎么做……

Firefox是一个非常灵活的浏览器,非常适合用来web渗透测试,并且他默认安装在Kali Linux中。我们需要稍微定制一下,可以使用以下步骤:

1. 打开Firefox,进入菜单中的附加组件:

2. 在搜索框中,输入wappalyzer查找我们将要安装的第一个插件:

3. 单击Wappalyzer插件中的Install安装。您可能还需要确认安装。

4. 接下来,我们搜索FoxyProxy。

5. 点击安装。

6. 现在搜索并安装Cookies Manager+。

7. 搜索并安装HackBar。

8. 搜索并安装HttpRequester。

9. 搜索并安装RESTClient。

10. 搜索并安装User-Agent Switcher。

11. 搜索并安装Tampermonkey。

12. 搜索并安装Tamper Data and Tamper Data Icon Redux.

13. 安装的扩展列表如下图所示:

他们是如何工作的…

到目前为止,我们已在web浏览器中安装了一些工具,但这些工具在渗透测试web应用程序时的功能是什么呢?安装的插件介绍如下:

  • HackBar:一个非常简单的插件,可以帮助我们尝试不同的输入值,而无需更改或重写完整的URL。在手工检查跨站点脚本编写和注入时,我们将经常使用这种方法。它可以使用F9键激活。
  • cookie Manager+:这个附加组件允许我们查看和修改浏览器从应用程序接收到的cookie的值。
  • User-Agent Switcher:此插件允许我们修改用户代理字符串(浏览器标识符),该字符串在发送到服务器的所有请求中。应用程序有时使用这个字符串显示或隐藏某些元素,这取决于所使用的浏览器和操作系统。
  • Tamper Data:这个附加组件能够捕获浏览器发送给服务器的任何请求,让我们有机会在应用程序的表单中引入数据并到达服务器之前修改数据。Tamper Data Icon Redux只添加一个图标。
  • FoxyProxy Standard:一个非常有用的插件,允许我们使用用户提供的预设,在一次点击中改变浏览器的代理设置。
  • Wappalyzer:这是一个用来识别网站中使用的平台和开发工具的工具。这对于提取web服务器及其使用的软件非常有用。
  • HttpRequester:使用这个插件,可以处理HTTP请求,包括get、post和put方法,并观察来自服务器的原始响应。
  • RESTClient:这基本上是一个像HTTP请求者一样的请求生成器,但主要关注REST web服务。它包括添加标题、不同的身份验证模式以及get、post、put和delete方法的选项。
  • Tampermonkey:这个插件允许我们在浏览器中安装用户脚本,并在加载之前或之后对web页面内容进行动态更改。从渗透测试的角度来看,这有助于绕过客户端控件和其他客户端代码操作。

其他

其他对web应用程序渗透测试有用的插件如下:

  • XSS Me
  • SQL Inject Me
  • iMacros
  • FirePHP

作者注:几个老哥们也都在辛苦的做着翻译,也深知很多地方整理的不太妥当,各位多担待吧,但是学起来我觉着还是没问题的,我学懂了,你们呐~?

本文分享自微信公众号 - 玄魂工作室(xuanhun521)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-11-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python专栏

200行代码,一行行教你自制微信机器人

1) 用一个windows客户端工具运营公众号,真的很局限。虽然工具的功能很强大,能自动添加好友,自动拉好友入群,关键字回复等等,但是有一个绕不开的点,它是一款...

62520
来自专栏数据结构笔记

python基础类型(一):字符串和列表

注意到最后三个的单双引号是嵌套使用的,但是最后一个的使用方法是错误的,因为当我们混合使用两种引号时必须有一种用来划分字符串的边界,即在两边的引号不能出现在字符串...

14020
来自专栏大数据文摘

迷人又诡异的辛普森悖论:同一个数据集是如何证明两个完全相反的观点的?

在辛普森悖论中,餐馆可以同时比竞争对手更好或更差,锻炼可以降低和增加疾病的风险,同样的数据集能够用于证明两个完全相反的论点。

16030
来自专栏GreenLeaves

TFS2018环境搭建一硬件要求

TFS可以安装在Windows Server和Windows PC操作系统中,但是TFS2018和2018只支持64位操作系统中,早期的版本没有操作系统的位数限...

41230
来自专栏我是攻城师

理解BitMap算法的原理

位图:一种常用的数据结构,代表了有限域中的稠集(dense set),每一个元素至少出现一次,没有其他的数据和元素相关联。在索引,数据压缩,海量数据处理等方面有...

25530
来自专栏chenssy

多线程:为什么在while循环中加入System.out.println,线程可以停止

这个我们都知道,由于 stopReqested 的更新值在主内存中,而线程栈中的值不是最新的,所以会一直循环,线程并不能停止。加上 Volatile 关键字后,...

21740
来自专栏编程坑太多

『高级篇』docker之Mesos集群架构图(23)

12140
来自专栏机器之心

Diss所有深度生成模型,DeepMind说它们真的不知道到底不知道什么

深度学习在应用层面获得了巨大成功,这些实际应用一般都希望利用判别模型构建条件分布 p(y|x),其中 y 是标签、x 是特征。但这些判别模型无法处理从其他分布中...

11710
来自专栏苦逼的码农

一些常用的算法技巧总结

数组的下标是一个隐含的很有用的数组,特别是在统计一些数字,或者判断一些整型数是否出现过的时候。例如,给你一串字母,让你判断这些字母出现的次数时,我们就可以把这些...

22230
来自专栏smy

一张图解释负载均衡

首先当大量用户访问时候,先请求到nignx服务器,因为nignx对于高并发支持较好,所以由nignx服务器将访问需求分配给不同的apache服务器,apache...

21330

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励