Google Chrome Extensions für Penetration Tests

Google Chrome Extensions für Penetration Tests

Marc Ruef
von Marc Ruef
Lesezeit: 4 Minuten

Eine Vielzahl der Client/Server-basierten Anwendungen werden heutzutage als Webapplikationen umgesetzt. Der Grund dafür ist vielfältig. In erster Linie kann der Nutzen der etablierten Techniken nicht bestritten werden. Auf der Basis webfähiger Programmiersprachen lassen sich innert kürzester Zeit Anwendungen entwickeln, die sich komfortabel über bestehende Browser in einem Netzwerk oder über das Internet nutzen lassen.

Sodann wird es für Penetration Tester immer wichtiger, sich mit Webapplikationen auseinanderzusetzen. Die manuelle Prüfung individueller Lösungen kann je nachdem sehr aufwendig sein. Durch die Modularität des beliebten Webbrowsers Google Chrome ist es möglich, zusätzliche Extensions zu installieren und damit den Browser für derlei Tätigkeit zugeschnittene Funktionen zu erweitern.

Nachfolgend sollen einige der nützlichsten Google Chrome Extensions für Web Application Penetration Tests – ähnlich unserer Liste für Firefox Addons – vorgestellt werden. Die gezeigte Tabelle unterscheidet je nach Anwendungszweck. In der letzten Spalte wird die Bewertung der Extension in einer Skala von 1-5 ausgewiesen.

Allgemein / Debugging
Web Developer Diverse Funktionalitäten für Entwickler ★★★★★
Pendule Diverse Funktionalitäten für Entwickler ★★★★★
Firebug Lite Debugging und Anpassung von Webseiten ★★★★★
Tampermonkey Dynamische Anpassung von Webseiten ★★★★★
XPath Helper Extrahieren von XPath-Informationen ★★★☆☆
Modifikation von Anfragen
Dev HTTP Client Erstellen eigener HTTP-Anfragen ★★★★☆
Request Maker Erstellen eigener HTTP-Anfragen (ähnlich Burp) ★★★★☆
Proxy SwitchySharp Schnelles Wechseln von Proxies ★★★☆☆
Change HTTP Request Header Ändern der HTTP Header Zeilen ★★★☆☆
Edit This Cookie Erstellen und Anpassen von Cookies ★★★☆☆
Referer Control Manipulieren des Referer ★★☆☆☆
Emulation
Mozilla Gecko Tab Anzeigen einer Seite mit Mozilla Gecko (Firefox Engine) ★★★☆☆
IE Tab Anzeigen einer Seite mit Internet Explorer Engine ★★★☆☆
Sniffing
HTTP Headers Anzeigen der HTTP-Kommunikation ★★★☆☆
Caching und Blocking
Adblock Plus Entfernen von Seitenelementen ★★★★★
ScriptNo Deaktivieren aktiver Inhalte ★★★★☆
Cache Killer Löschen des lokalen Cache vor jeder Anfrage ★★☆☆☆
Footprinting und Auswertung
BuiltWith Technology Profiler Identifikation eingesetzter Technologien ★★★★☆
TinEye Reverse Image Search Identifikation von Bildquellen ★★★★☆
Passive Cache Gelöschte Seiten im Cache anzeigen ★★★★☆
Web Cache Gelöschte Seiten im Cache finden ★★★☆☆
Port Scanner Durchführen von simplen TCP-Portscans ★★★☆☆
Automatisiertes Testing
Websecurify Scanner für Verwundbarkeiten ★★★★★
XSS Rays Tool für Cross Site Scripting ★★★★★
iMacros for Chrome Automatisierung mittels Makros ★★★★★

Einmal mehr gilt auch hier, dass Extensions nur nach sorgfältiger Prüfung nach etwaiger Malware installiert und ausgeführt werden sollten.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv