Konkrete Kritik an CVSS4
Marc Ruef
Eine Vielzahl der Client/Server-basierten Anwendungen werden heutzutage als Webapplikationen umgesetzt. Der Grund dafür ist vielfältig. In erster Linie kann der Nutzen der etablierten Techniken nicht bestritten werden. Auf der Basis webfähiger Programmiersprachen lassen sich innert kürzester Zeit Anwendungen entwickeln, die sich komfortabel über bestehende Browser in einem Netzwerk oder über das Internet nutzen lassen.
Sodann wird es für Penetration Tester immer wichtiger, sich mit Webapplikationen auseinanderzusetzen. Die manuelle Prüfung individueller Lösungen kann je nachdem sehr aufwendig sein. Durch die Modularität des beliebten Webbrowsers Google Chrome ist es möglich, zusätzliche Extensions zu installieren und damit den Browser für derlei Tätigkeit zugeschnittene Funktionen zu erweitern.
Nachfolgend sollen einige der nützlichsten Google Chrome Extensions für Web Application Penetration Tests – ähnlich unserer Liste für Firefox Addons – vorgestellt werden. Die gezeigte Tabelle unterscheidet je nach Anwendungszweck. In der letzten Spalte wird die Bewertung der Extension in einer Skala von 1-5 ausgewiesen.
Allgemein / Debugging | ||
---|---|---|
Web Developer | Diverse Funktionalitäten für Entwickler | ★★★★★ |
Pendule | Diverse Funktionalitäten für Entwickler | ★★★★★ |
Firebug Lite | Debugging und Anpassung von Webseiten | ★★★★★ |
Tampermonkey | Dynamische Anpassung von Webseiten | ★★★★★ |
XPath Helper | Extrahieren von XPath-Informationen | ★★★☆☆ |
Modifikation von Anfragen | ||
Dev HTTP Client | Erstellen eigener HTTP-Anfragen | ★★★★☆ |
Request Maker | Erstellen eigener HTTP-Anfragen (ähnlich Burp) | ★★★★☆ |
Proxy SwitchySharp | Schnelles Wechseln von Proxies | ★★★☆☆ |
Change HTTP Request Header | Ändern der HTTP Header Zeilen | ★★★☆☆ |
Edit This Cookie | Erstellen und Anpassen von Cookies | ★★★☆☆ |
Referer Control | Manipulieren des Referer | ★★☆☆☆ |
Emulation | ||
Mozilla Gecko Tab | Anzeigen einer Seite mit Mozilla Gecko (Firefox Engine) | ★★★☆☆ |
IE Tab | Anzeigen einer Seite mit Internet Explorer Engine | ★★★☆☆ |
Sniffing | ||
HTTP Headers | Anzeigen der HTTP-Kommunikation | ★★★☆☆ |
Caching und Blocking | ||
Adblock Plus | Entfernen von Seitenelementen | ★★★★★ |
ScriptNo | Deaktivieren aktiver Inhalte | ★★★★☆ |
Cache Killer | Löschen des lokalen Cache vor jeder Anfrage | ★★☆☆☆ |
Footprinting und Auswertung | ||
BuiltWith Technology Profiler | Identifikation eingesetzter Technologien | ★★★★☆ |
TinEye Reverse Image Search | Identifikation von Bildquellen | ★★★★☆ |
Passive Cache | Gelöschte Seiten im Cache anzeigen | ★★★★☆ |
Web Cache | Gelöschte Seiten im Cache finden | ★★★☆☆ |
Port Scanner | Durchführen von simplen TCP-Portscans | ★★★☆☆ |
Automatisiertes Testing | ||
Websecurify | Scanner für Verwundbarkeiten | ★★★★★ |
XSS Rays | Tool für Cross Site Scripting | ★★★★★ |
iMacros for Chrome | Automatisierung mittels Makros | ★★★★★ |
Einmal mehr gilt auch hier, dass Extensions nur nach sorgfältiger Prüfung nach etwaiger Malware installiert und ausgeführt werden sollten.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!