Firefox-Addons für Penetration Tests

Firefox-Addons für Penetration Tests

Marc Ruef
Marc Ruef
Stefan Friedli
Stefan Friedli
time to read: 4 minutes

Eine Vielzahl der Client/Server-basierten Anwendungen werden heutzutage als Webapplikationen umgesetzt. Der Grund dafür ist vielfältig. In erster Linie kann der Nutzen der etablierten Techniken nicht bestritten werden. Auf der Basis webfähiger Programmiersprachen lassen sich innert kürzester Zeit Anwendungen entwickeln, die sich komfortabel über bestehende Browser in einem Netzwerk oder über das Internet nutzen lassen.

Sodann wird es für Penetration Tester immer wichtiger, sich mit Webapplikationen auseinanderzusetzen. Die manuelle Prüfung individueller Lösungen kann je nachdem sehr aufwendig sein. Durch die Modularität des beliebten Webbrowsers Firefox ist es möglich, zusätzliche Addons zu installieren und damit den Browser für derlei Tätigkeit zugeschnittene Funktionen zu erweitern.

Nachfolgend sollen einige der nützlichsten Firefox Addons für Web Application Penetration Tests vorgestellt werden. Die gezeigte Tabelle unterscheidet je nach Anwendungszweck. In der letzten Spalte wird die Bewertung des Addons in einer Skala von 1-5 ausgewiesen.

Allgemein / Debugging
Web Developer Diverse Funktionalitäten für Entwickler ★★★★★
Firebug Debugging und Anpassung von Webseiten ★★★★★
Greasemonkey Dynamische Anpassung von Webseiten ★★★★★
Modifikation von Anfragen
Groundspeed Modifikation von Formularen/Event-Handler ★★★★☆
Tamper Data Modifikation von Anfragen ★★★☆☆
Modify Headers Modifikation von Header ★★★☆☆
User Agent Switcher Modifikation des User-Agent ★★★☆☆
RefControl Manipulieren des Referer ★★☆☆☆
No-Referer Deaktivieren des Referer ★★☆☆☆
X-Forwarded-For Spoofer Manipulieren des X-Forwarded-For ★★☆☆☆
Sniffing
Live HTTP Headers Mitlesen der HTTP-Kommunikation ★★★★★
Caching und Blocking
Adblock Plus Entfernen von Seitenelementen ★★★★★
NoScript Deaktivieren aktiver Inhalte ★★★★☆
BetterCache Konfigurieren des Browser-Cache ★★★☆☆
CookieSafe Einschränken des Cookie-Handling ★★☆☆☆
Footprinting und Auswertung
TinEye Reverse Image Search Identifikation von Bildquellen ★★★★☆
PassiveRecon Footprinting einer Webseite ★★★☆☆
Server Spy Anzeigen der Server-Zeile (Banner) ★★★☆☆
Automatisiertes Testing
iMacros for Firefox Automatisierung mittels Makros ★★★★★
HackBar Einfache Web-Angriffe automatisieren ★★☆☆☆
SQL Inject Me Einfache SQL-Injection automatisieren ★★☆☆☆
XSS Me Einfache Cross Site Scripting automatisieren ★★☆☆☆
RESTTest Manuelle Generierung von Anfragen ★☆☆☆☆

Hinweis

Nicht erst seit dem Zwischenfall zu Beginn des Jahres 2010, bei dem korrupter Programmcode in Firefox-Addons vermutet wurde, ist es angeraten, a) Addons nur aus vertrauenswürdiger Quelle zu installieren, b) sie mit einer Antiviren-Lösung auf korrupten Programmcode hin zu testen sowie c) den Quelltext auf etwaige Backdoor-Mechanismen zu überprüfen.

About the Authors

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Stefan Friedli

Stefan Friedli is a well-known face among the Infosec Community. As a speaker at international conferences, co-founder of the Penetration Testing Execution Standard (PTES) as well as a board member of the Swiss DEFCON groups chapters, he still contributes to push the community and the industry forward.

Links

You want to test the strength of your enterprise regarding malware attacks?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here