原文地址:http://resources.infosecinstitute.com/19-extensions-to-turn-google-chrome-into-penetration-testing-tool/
1 Web Developer
可以用于分析HTML和JS等
地址https://chrome.google.com/webstore/detail/web-developer/bfbameneiokkgbdmiekhjnmfkcnldhhm
2 Firebug Lite for Google Chrome
为分析HTML元素,DOM元素和其他模块提供丰富的环境。同时提供实时CSS编辑。用于帮助分析web程序是否在客户端正常运行。
地址https://chrome.google.com/webstore/detail/firebug-lite-for-google-c/bmagokdooijbeehmkpknfglimnifench
3 d3coder
用于对选择的文本进行编解码。从而避免使用额外的工具来进行编解码。含有如下功能:
Timestamp decoding
rot13 en-/decoding
base64 encoding
base64 decoding
CRC32 hashing
MD5 hashing
SHA1 hashing
bin2hex
bin2txt
HTML entity encoding
HTML entity decoding
HTML special chars encoding
HTML special chars decoding
URI encoding
URI decoding
Quoted printable decoding
Quoted printable encoding
Escapeshellarg
Base64 decode
Base64 encode
Unserialize
L33T-en/decode
Reverse
地址:https://chrome.google.com/webstore/detail/d3coder/gncnbkghencmkfgeepfaonmegemakcol?hl=en-US
4 Site Spider
chrome中的爬虫,遍历所有页面报告损坏的链接。可以通过规则和正则表达式限制爬虫范围。也可以使用认证口令来访问页面。
地址: https://chrome.google.com/webstore/detail/site-spider/ddlodfbcplakmddhdlffebcggbbighda
5 Form Fuzzer
用于把预定义的字符串填充表单。可以选择checkbox,radio按键和选择表单项。含有一个配置菜单用来管理扩展的设置。可以用过这个工具快速填充表单。有助于XSS和SQLi。
地址:https://chrome.google.com/webstore/detail/form-fuzzer/cbpplldpcdcfejdaldmnfhlodoadjhii
6 Session Manager
是一个允许我们保存,更新,恢复,删除一组标签的工具。可以创建一组同样题材的标签,然后通过点击一次来恢复所有页面。
地址:https://chrome.google.com/webstore/detail/session-manager/mghenlmbmjcpehccoangkdpagbcbkdpc
7 Request Maker
用于创建,捕获请求,修改url,增加post数据的头。可以捕获通过froms或XMLHttpRequests创建的请求。
地址:https://chrome.google.com/webstore/detail/request-maker/kajfghlhfkcocafkcjlajldicbikpgnp
8 Proxy SwitchySharp
是一个代理扩展,用于管理和在数个代理直接切换。还有一个属性可以用来根据url来自动设置代理。可以导入/导出数据。通过这个代理,我们可以隐藏IP
地址:https://chrome.google.com/webstore/detail/proxy-switchysharp/dpplabbmogkhghncfbfdeeokoefdjegm/details
9 Cookie Editor
允许user删除,编辑,增加,或搜索cookie。也可以用来保护/封锁/或导出json中的cookie。
地址:https://chrome.google.com/webstore/detail/edit-this-cookie/fngmhnnpilhplaeedifhccceomclgfbg
10 Cache Killer
用于在加载页面之前自动清除浏览器cache。有助于当web页面内容变化时绕过cache来查看具体变化的地方
地址:https://chrome.google.com/webstore/detail/cache-killer/jpfbieopdmepaolggioebjmedmclkbap
11 XSS Rays
用于查找网站的xss漏洞。用于发现网站是如何过滤代码。检查注入和考察object。可以用来提取/查看/编辑表单,即使表单不可编辑。所有很多渗透测试人员使用这个工具来作为指定那个xss测试工具。更多信息https://github.com/beefproject/beef/wiki/Xss-Rays
地址:https://chrome.google.com/webstore/detail/xss-rays/kkopfbcgaebdaklghbnfmjeeonmabidj
12 WebSecurify
是一个跨平台web安全工具。它支持笔记本,手机平台和浏览器。它是第一个可以直接在浏览器上运行的安全工具。可以发现XSS,XSRF, CSRF, SQL Injection, File upload, URL redirection和其他各种安全漏洞。它含有爬虫工具可以爬虫网站,然后在页面中找到漏洞。
地址:https://chrome.google.com/webstore/detail/websecurify/gbecpbaknodhccppnfndfmjifmonefdm
13 Port Scanner
使用浏览器来进行端口扫描
地址:https://chrome.google.com/webstore/detail/port-scanner/jicgaglejpnmiodpgjidiofpjmfmlgjo
14 XSS chef
用来识别XXS漏洞,类似BeEF,但是使用浏览器。它可以进行下面的task:
监视受害者打开的标签
在每个标签执行JS(全局XSS)
提取HTML,读写cookie(包括httpOlny),本地存储
获得/操控浏览记录
永久保存知道浏览器关闭(如果可以写到本地存储,那么持续时间更长)
受害窗口截屏
进一步exploit,例如BeEF hook,keyloggers 等
利用文件系统,通过file://
绕过chrome沙盒直接与页面JS交互
它不是一个扩展而是一个框架,所以安装会不同。阅读文档
地址:https://github.com/koto/xsschef
15 HPP Finder
用于查找/利用HTTP参数污染漏洞。可以发现/利用可能有HTTP参数污染的HTML表单或URL
地址:https://chrome.google.com/webstore/detail/hpp-finder/nogojgcobcolombicplhimbbakkcmhio
16 The Exploit Database
不是一个渗透测试工具,但是帮助你更新exploit-db服务器上最新的exploits,shell code和白皮书。代码地址:http://github.com/10n1z3d/EDBE
地址:https://chrome.google.com/webstore/detail/the-exploit-database/lkgjhdamnlnhppkolhfiocgnpciaiane
17 GHDB:
帮助你找到必要的Google hack query。
地址:https://chrome.google.com/webstore/detail/ghdb/jopoimgcafajndmonondpmlknbahbgdb
18 iMacros for Chrome
可以自动化一些测试
地址:https://chrome.google.com/webstore/detail/imacros-for-chrome/cplklnmnlbnpmjogncfgfijoopmnlemp
19 IP Address and Domain Information
信息收集工具,用来收集每个IP的(IPv4和IPv6)地理位置,DNS,whois,路由,搜索结果,hosting,C段,DNBL,BGP和ASN信息。
[译]web安全测试chrome插件
猜你喜欢
转载自j4s0nh4ck.iteye.com/blog/2153232
今日推荐
周排行