Specific Criticism of CVSS4
Marc Ruef
Eine Vielzahl der Client/Server-basierten Anwendungen werden heutzutage als Webapplikationen umgesetzt. Der Grund dafür ist vielfältig. In erster Linie kann der Nutzen der etablierten Techniken nicht bestritten werden. Auf der Basis webfähiger Programmiersprachen lassen sich innert kürzester Zeit Anwendungen entwickeln, die sich komfortabel über bestehende Browser in einem Netzwerk oder über das Internet nutzen lassen.
Sodann wird es für Penetration Tester immer wichtiger, sich mit Webapplikationen auseinanderzusetzen. Die manuelle Prüfung individueller Lösungen kann je nachdem sehr aufwendig sein. Durch die Modularität des beliebten Webbrowsers Firefox ist es möglich, zusätzliche Addons zu installieren und damit den Browser für derlei Tätigkeit zugeschnittene Funktionen zu erweitern.
Nachfolgend sollen einige der nützlichsten Firefox Addons für Web Application Penetration Tests vorgestellt werden. Die gezeigte Tabelle unterscheidet je nach Anwendungszweck. In der letzten Spalte wird die Bewertung des Addons in einer Skala von 1-5 ausgewiesen.
Allgemein / Debugging | ||
---|---|---|
Web Developer | Diverse Funktionalitäten für Entwickler | ★★★★★ |
Firebug | Debugging und Anpassung von Webseiten | ★★★★★ |
Greasemonkey | Dynamische Anpassung von Webseiten | ★★★★★ |
Modifikation von Anfragen | ||
Groundspeed | Modifikation von Formularen/Event-Handler | ★★★★☆ |
Tamper Data | Modifikation von Anfragen | ★★★☆☆ |
Modify Headers | Modifikation von Header | ★★★☆☆ |
User Agent Switcher | Modifikation des User-Agent | ★★★☆☆ |
RefControl | Manipulieren des Referer | ★★☆☆☆ |
No-Referer | Deaktivieren des Referer | ★★☆☆☆ |
X-Forwarded-For Spoofer | Manipulieren des X-Forwarded-For | ★★☆☆☆ |
Sniffing | ||
Live HTTP Headers | Mitlesen der HTTP-Kommunikation | ★★★★★ |
Caching und Blocking | ||
Adblock Plus | Entfernen von Seitenelementen | ★★★★★ |
NoScript | Deaktivieren aktiver Inhalte | ★★★★☆ |
BetterCache | Konfigurieren des Browser-Cache | ★★★☆☆ |
CookieSafe | Einschränken des Cookie-Handling | ★★☆☆☆ |
Footprinting und Auswertung | ||
TinEye Reverse Image Search | Identifikation von Bildquellen | ★★★★☆ |
PassiveRecon | Footprinting einer Webseite | ★★★☆☆ |
Server Spy | Anzeigen der Server-Zeile (Banner) | ★★★☆☆ |
Automatisiertes Testing | ||
iMacros for Firefox | Automatisierung mittels Makros | ★★★★★ |
HackBar | Einfache Web-Angriffe automatisieren | ★★☆☆☆ |
SQL Inject Me | Einfache SQL-Injection automatisieren | ★★☆☆☆ |
XSS Me | Einfache Cross Site Scripting automatisieren | ★★☆☆☆ |
RESTTest | Manuelle Generierung von Anfragen | ★☆☆☆☆ |
Nicht erst seit dem Zwischenfall zu Beginn des Jahres 2010, bei dem korrupter Programmcode in Firefox-Addons vermutet wurde, ist es angeraten, a) Addons nur aus vertrauenswürdiger Quelle zu installieren, b) sie mit einer Antiviren-Lösung auf korrupten Programmcode hin zu testen sowie c) den Quelltext auf etwaige Backdoor-Mechanismen zu überprüfen.
Our experts will get in contact with you!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Our experts will get in contact with you!