Google Chrome Extensions für Penetration Tests

Google Chrome Extensions für Penetration Tests

Marc Ruef
by Marc Ruef
time to read: 4 minutes

Eine Vielzahl der Client/Server-basierten Anwendungen werden heutzutage als Webapplikationen umgesetzt. Der Grund dafür ist vielfältig. In erster Linie kann der Nutzen der etablierten Techniken nicht bestritten werden. Auf der Basis webfähiger Programmiersprachen lassen sich innert kürzester Zeit Anwendungen entwickeln, die sich komfortabel über bestehende Browser in einem Netzwerk oder über das Internet nutzen lassen.

Sodann wird es für Penetration Tester immer wichtiger, sich mit Webapplikationen auseinanderzusetzen. Die manuelle Prüfung individueller Lösungen kann je nachdem sehr aufwendig sein. Durch die Modularität des beliebten Webbrowsers Google Chrome ist es möglich, zusätzliche Extensions zu installieren und damit den Browser für derlei Tätigkeit zugeschnittene Funktionen zu erweitern.

Nachfolgend sollen einige der nützlichsten Google Chrome Extensions für Web Application Penetration Tests – ähnlich unserer Liste für Firefox Addons – vorgestellt werden. Die gezeigte Tabelle unterscheidet je nach Anwendungszweck. In der letzten Spalte wird die Bewertung der Extension in einer Skala von 1-5 ausgewiesen.

Allgemein / Debugging
Web Developer Diverse Funktionalitäten für Entwickler ★★★★★
Pendule Diverse Funktionalitäten für Entwickler ★★★★★
Firebug Lite Debugging und Anpassung von Webseiten ★★★★★
Tampermonkey Dynamische Anpassung von Webseiten ★★★★★
XPath Helper Extrahieren von XPath-Informationen ★★★☆☆
Modifikation von Anfragen
Dev HTTP Client Erstellen eigener HTTP-Anfragen ★★★★☆
Request Maker Erstellen eigener HTTP-Anfragen (ähnlich Burp) ★★★★☆
Proxy SwitchySharp Schnelles Wechseln von Proxies ★★★☆☆
Change HTTP Request Header Ändern der HTTP Header Zeilen ★★★☆☆
Edit This Cookie Erstellen und Anpassen von Cookies ★★★☆☆
Referer Control Manipulieren des Referer ★★☆☆☆
Emulation
Mozilla Gecko Tab Anzeigen einer Seite mit Mozilla Gecko (Firefox Engine) ★★★☆☆
IE Tab Anzeigen einer Seite mit Internet Explorer Engine ★★★☆☆
Sniffing
HTTP Headers Anzeigen der HTTP-Kommunikation ★★★☆☆
Caching und Blocking
Adblock Plus Entfernen von Seitenelementen ★★★★★
ScriptNo Deaktivieren aktiver Inhalte ★★★★☆
Cache Killer Löschen des lokalen Cache vor jeder Anfrage ★★☆☆☆
Footprinting und Auswertung
BuiltWith Technology Profiler Identifikation eingesetzter Technologien ★★★★☆
TinEye Reverse Image Search Identifikation von Bildquellen ★★★★☆
Passive Cache Gelöschte Seiten im Cache anzeigen ★★★★☆
Web Cache Gelöschte Seiten im Cache finden ★★★☆☆
Port Scanner Durchführen von simplen TCP-Portscans ★★★☆☆
Automatisiertes Testing
Websecurify Scanner für Verwundbarkeiten ★★★★★
XSS Rays Tool für Cross Site Scripting ★★★★★
iMacros for Chrome Automatisierung mittels Makros ★★★★★

Einmal mehr gilt auch hier, dass Extensions nur nach sorgfältiger Prüfung nach etwaiger Malware installiert und ausgeführt werden sollten.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several universities, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

You want to test the security of your firewall?

Our experts will get in contact with you!

×
Ransomware Detection, Defense, and Analysis

Ransomware Detection, Defense, and Analysis

Marc Ruef

Data Markets

Data Markets

Marc Ruef

Password Leak Analysis

Password Leak Analysis

Marc Ruef

MITRE ATT&CK

MITRE ATT&CK

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here