Firefox-Addons für Penetration Tests

Firefox-Addons für Penetration Tests

Marc Ruef
Marc Ruef
Stefan Friedli
Stefan Friedli
Lesezeit: 4 Minuten

Eine Vielzahl der Client/Server-basierten Anwendungen werden heutzutage als Webapplikationen umgesetzt. Der Grund dafür ist vielfältig. In erster Linie kann der Nutzen der etablierten Techniken nicht bestritten werden. Auf der Basis webfähiger Programmiersprachen lassen sich innert kürzester Zeit Anwendungen entwickeln, die sich komfortabel über bestehende Browser in einem Netzwerk oder über das Internet nutzen lassen.

Sodann wird es für Penetration Tester immer wichtiger, sich mit Webapplikationen auseinanderzusetzen. Die manuelle Prüfung individueller Lösungen kann je nachdem sehr aufwendig sein. Durch die Modularität des beliebten Webbrowsers Firefox ist es möglich, zusätzliche Addons zu installieren und damit den Browser für derlei Tätigkeit zugeschnittene Funktionen zu erweitern.

Nachfolgend sollen einige der nützlichsten Firefox Addons für Web Application Penetration Tests vorgestellt werden. Die gezeigte Tabelle unterscheidet je nach Anwendungszweck. In der letzten Spalte wird die Bewertung des Addons in einer Skala von 1-5 ausgewiesen.

Allgemein / Debugging
Web Developer Diverse Funktionalitäten für Entwickler ★★★★★
Firebug Debugging und Anpassung von Webseiten ★★★★★
Greasemonkey Dynamische Anpassung von Webseiten ★★★★★
Modifikation von Anfragen
Groundspeed Modifikation von Formularen/Event-Handler ★★★★☆
Tamper Data Modifikation von Anfragen ★★★☆☆
Modify Headers Modifikation von Header ★★★☆☆
User Agent Switcher Modifikation des User-Agent ★★★☆☆
RefControl Manipulieren des Referer ★★☆☆☆
No-Referer Deaktivieren des Referer ★★☆☆☆
X-Forwarded-For Spoofer Manipulieren des X-Forwarded-For ★★☆☆☆
Sniffing
Live HTTP Headers Mitlesen der HTTP-Kommunikation ★★★★★
Caching und Blocking
Adblock Plus Entfernen von Seitenelementen ★★★★★
NoScript Deaktivieren aktiver Inhalte ★★★★☆
BetterCache Konfigurieren des Browser-Cache ★★★☆☆
CookieSafe Einschränken des Cookie-Handling ★★☆☆☆
Footprinting und Auswertung
TinEye Reverse Image Search Identifikation von Bildquellen ★★★★☆
PassiveRecon Footprinting einer Webseite ★★★☆☆
Server Spy Anzeigen der Server-Zeile (Banner) ★★★☆☆
Automatisiertes Testing
iMacros for Firefox Automatisierung mittels Makros ★★★★★
HackBar Einfache Web-Angriffe automatisieren ★★☆☆☆
SQL Inject Me Einfache SQL-Injection automatisieren ★★☆☆☆
XSS Me Einfache Cross Site Scripting automatisieren ★★☆☆☆
RESTTest Manuelle Generierung von Anfragen ★☆☆☆☆

Hinweis

Nicht erst seit dem Zwischenfall zu Beginn des Jahres 2010, bei dem korrupter Programmcode in Firefox-Addons vermutet wurde, ist es angeraten, a) Addons nur aus vertrauenswürdiger Quelle zu installieren, b) sie mit einer Antiviren-Lösung auf korrupten Programmcode hin zu testen sowie c) den Quelltext auf etwaige Backdoor-Mechanismen zu überprüfen.

Über die Autoren

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Sie wollen die Resistenz Ihres Unternehmens auf Malware prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv