滲透測試中實用的谷歌插件有哪些

回答數量: 2

齊士忠

6 聲望

安全集成（專業級）SI/PL CISAW安全運維(專業級)

1. Web Developer（網頁開發者）

本擴展會在Chrome中添加一個具有豐富功能的工具條，用戶可以用他們分析Web前端的HTML和Javascript等。

2. Firebug Lite for Google Chrome （Firebug精簡版）

本工具可以分析WEB應用在客戶端的行為。

3. d3coder （decoder，解碼器）

這項擴展將添加一個右鍵菜單，方便滲透測試人員按照指定格式編碼/解碼文本。

4. Site Spider（網站爬蟲）

這個擴展將會檢測所有的頁面并報告所有損壞的鏈接。

5. Form Fuzzer （表單模糊測試[1]）

本擴展會在表單中填充預定義的字符到不同的域中，并且支持單選框、復選框、下拉框的選擇。

6. Session Manager （會話管理器）

提供保存、更新、恢復和刪除一組標簽頁的功能。你可以創建一個內容相近的標簽組，一次單擊便可以打開全部。

7. Request Maker （HTTP請求標識工具）

這個工具與Burp的功能非常像。利用這個工具可以執行一些基于HTTP請求的攻擊。

8. Proxy SwitchySharp

一個代理服務器管理插件，可以快速的切換代理設置。

9. Cookie Editor （cookies編輯器）

本擴展可以刪除、編輯、添加和查找cookies 。

10. Cache Killer（緩存克星）

本擴展可以在刷新頁面之前自動清空緩存，只要鼠標單擊即可快速啟用。

11. XSS Rays（跨站之光）

一個快速查找跨站腳本漏洞（XSS）的擴展，還支持注入檢測。

12. WebSecurify （網絡安全）

這是一個強大的跨平臺網絡安全測試工具，支持多種桌面操作系統，移動平臺和瀏覽器。

13. Port Scanner（端口掃描）

可以使用這個擴展來掃描當前開放的TCP端口，支持IP和域名地址。

14. XSS chef（跨站廚子）

一個流行的XSS檢測工具，與BeEF類似，但是是基于瀏覽器的。這不是一個擴展程序，而是一個框架，所以安裝的方法與前者有所不同。請閱讀官方說明來了解安裝方法。

15. HPP Finder（HPP[2]查找器）

這是一個發現HPP漏洞并執行攻擊的工具，它可以方便地檢測出具有潛在漏洞的HTML表單或者URL。

16. The Exploit Database（exp數據庫）

這并不是一個滲透測試工具，但是可以讓你時刻同步Exploit DB網站上最新的exp, shell code和論文。

回答所涉及的環境：聯想天逸510S、Windows 10。

1年前 / 評論

GQQQy

200 聲望

風險管理（專業級）RM/PL 高級信息系統項目管理師

Shodan

這個插件可以自動探測當前網站所屬的國家、城市，解析IP地址以及開放的服務和端口，包括但不限于FTP、DNS、SSH或者其他服務等，屬被動信息搜集中的一種。

HackBar

這個插件可用于常見編碼/解碼、POST/Cookies數據提交、SQL/XSS/LFI/XXE漏洞測試、自定義Referer/User-Agent等，是一款不可多得的滲透測試人員必備插件，雖然現在作者已經收費了，但還是能夠繞過其限制的。

d3coder

這個插件可用于各種類型的編碼和解碼，例如URI、Hex、Base64、Rot13或Unix時間戳等編碼之間的相互轉換。

NoScript

這個插件可用于禁止瀏覽器加載和解析JS代碼，也可以通過以下兩種方式禁止執行JS，常見應用場景有：禁用JS后臺越權、禁用JS白名單上傳等。

Wappalyzer

這個插件可用于指紋識別，能夠檢測出當前網站使用的Web框架和CMS、CDN、統計、中間件、編程語言以及JavaScript框架和庫等等相關信息。

FOFA Pro View

這個插件比Shodan搜集到的信息更全，能夠檢測出當前網站的托管位置（國家/地區/城市）、組織、ASN、端口、協議和相關資產等信息。

EditThisCookie

這個插件可以幫助我們輕松管理谷歌瀏覽器上的各種Cookies，支持添加，刪除，編輯，搜索，鎖定、屏蔽、保護和攔截Cookies！

HTTP Header Live

這個插件可用于捕獲網頁中加載的全部網頁流量數據包，并且支持編輯和重發，就是UI差了點，大部分的同類插件都只能查看，不能編輯和重放。

Proxy SwitchyOmega

這個插件可以幫助我們快速管理和切換多個代理設置，支持的代理協議有：HTTP/HTTPS、Socks4/Socks5，這也是一款滲透測試人員（抓包、上“墻”）必備插件，谷歌上網助手插件也具備這樣的代理設置功能。

User-Agent Switcher

這個插件可用來模擬指定User-Agent去訪問網站，有的開發人員在編寫代碼過程中會設置僅允許移動端User-Agent訪問，一些做黑帽SEO的也經常使用這種方式來限制PC端訪問。這款插件在Chrome網上應用商店中已經下架了，有需要的可以找我。

Set Character Encoding

這個插件可用來修改當前瀏覽器的編碼，當瀏覽器編碼與網頁編碼不一致時就會出現亂碼的情況，最后吐槽一下這個新版谷歌瀏覽器的編碼設置是真不好找。

IP, DNS & Security Tools

這個插件是直接調用 https://hackertarget.com 官網接口來進行查詢的，如果長時間不出查詢結果時可能就得上“墻”了，可查詢的信息包括有：IP、路由、DNS、Whios、指紋、HTTP頭、同服等。

回答所涉及的環境：聯想天逸510S、Windows 10。

1年前 / 評論