风铃
渗透测试 谷歌插件

渗透测试中实用的谷歌插件有哪些

分享
回答 2
浏览 441
  • GQQQy 2 风险管理(专业级)RM/PL 高级信息系统项目管理师
    GQQQy2 风险管理(专业级)RM/PL 高级信息系统项目管理师

    Shodan

    这个插件可以自动探测当前网站所属的国家、城市,解析IP地址以及开放的服务和端口,包括但不限于FTP、DNS、SSH或者其他服务等,属被动信息搜集中的一种。

    HackBar

    这个插件可用于常见编码/解码、POST/Cookies数据提交、SQL/XSS/LFI/XXE漏洞测试、自定义Referer/User-Agent等,是一款不可多得的渗透测试人员必备插件,虽然现在作者已经收费了,但还是能够绕过其限制的。

    d3coder

    这个插件可用于各种类型的编码和解码,例如URI、Hex、Base64、Rot13或Unix时间戳等编码之间的相互转换。

    NoScript

    这个插件可用于禁止浏览器加载和解析JS代码,也可以通过以下两种方式禁止执行JS,常见应用场景有:禁用JS后台越权、禁用JS白名单上传等。

    Wappalyzer

    这个插件可用于指纹识别,能够检测出当前网站使用的Web框架和CMS、CDN、统计、中间件、编程语言以及JavaScript框架和库等等相关信息。

    FOFA Pro View

    这个插件比Shodan搜集到的信息更全,能够检测出当前网站的托管位置(国家/地区/城市)、组织、ASN、端口、协议和相关资产等信息。

    EditThisCookie

    这个插件可以帮助我们轻松管理谷歌浏览器上的各种Cookies,支持添加,删除,编辑,搜索,锁定、屏蔽、保护和拦截Cookies!

    HTTP Header Live

    这个插件可用于捕获网页中加载的全部网页流量数据包,并且支持编辑和重发,就是UI差了点,大部分的同类插件都只能查看,不能编辑和重放。

    Proxy SwitchyOmega

    这个插件可以帮助我们快速管理和切换多个代理设置,支持的代理协议有:HTTP/HTTPS、Socks4/Socks5,这也是一款渗透测试人员(抓包、上“墙”)必备插件,谷歌上网助手插件也具备这样的代理设置功能。

    User-Agent Switcher

    这个插件可用来模拟指定User-Agent去访问网站,有的开发人员在编写代码过程中会设置仅允许移动端User-Agent访问,一些做黑帽SEO的也经常使用这种方式来限制PC端访问。这款插件在Chrome网上应用商店中已经下架了,有需要的可以找我。

    Set Character Encoding

    这个插件可用来修改当前浏览器的编码,当浏览器编码与网页编码不一致时就会出现乱码的情况,最后吐槽一下这个新版谷歌浏览器的编码设置是真不好找。

    IP, DNS & Security Tools

    这个插件是直接调用 https://hackertarget.com 官网接口来进行查询的,如果长时间不出查询结果时可能就得上“墙”了,可查询的信息包括有:IP、路由、DNS、Whios、指纹、HTTP头、同服等。

    分享
    微信二维码
  • 齐士忠 2 安全集成(专业级)SI/PL CISAW安全运维(专业级)
    齐士忠2 安全集成(专业级)SI/PL CISAW安全运维(专业级)

    1. Web Developer(网页开发者)

    本扩展会在Chrome中添加一个具有丰富功能的工具条,用户可以用他们分析Web前端的HTML和Javascript等。

    2. Firebug Lite for Google Chrome (Firebug精简版)

    本工具可以分析WEB应用在客户端的行为。

    3. d3coder (decoder,解码器)

    这项扩展将添加一个右键菜单,方便渗透测试人员按照指定格式编码/解码文本。

    4. Site Spider(网站爬虫)

    这个扩展将会检测所有的页面并报告所有损坏的链接。

    5. Form Fuzzer (表单模糊测试[1])

    本扩展会在表单中填充预定义的字符到不同的域中,并且支持单选框、复选框、下拉框的选择。

    6. Session Manager (会话管理器)

    提供保存、更新、恢复和删除一组标签页的功能。你可以创建一个内容相近的标签组,一次单击便可以打开全部。

    7. Request Maker (HTTP请求标识工具)

    这个工具与Burp的功能非常像。利用这个工具可以执行一些基于HTTP请求的攻击。

    8. Proxy SwitchySharp

    一个代理服务器管理插件,可以快速的切换代理设置。

    9. Cookie Editor (cookies编辑器)

    本扩展可以删除、编辑、添加和查找cookies 。

    10. Cache Killer(缓存克星)

    本扩展可以在刷新页面之前自动清空缓存,只要鼠标单击即可快速启用。

    11. XSS Rays(跨站之光)

    一个快速查找跨站脚本漏洞(XSS)的扩展,还支持注入检测。

    12. WebSecurify (网络安全)

    这是一个强大的跨平台网络安全测试工具,支持多种桌面操作系统,移动平台和浏览器。

    13. Port Scanner(端口扫描)

    可以使用这个扩展来扫描当前开放的TCP端口,支持IP和域名地址。

    14. XSS chef(跨站厨子)

    一个流行的XSS检测工具,与BeEF类似,但是是基于浏览器的。这不是一个扩展程序,而是一个框架,所以安装的方法与前者有所不同。请阅读官方说明来了解安装方法。

    15. HPP Finder(HPP[2]查找器)

    这是一个发现HPP漏洞并执行攻击的工具,它可以方便地检测出具有潜在漏洞的HTML表单或者URL。

    16. The Exploit Database(exp数据库)

    这并不是一个渗透测试工具,但是可以让你时刻同步Exploit DB网站上最新的exp, shell code和论文。

    分享
    微信二维码
    • 推荐文章
    相关问题
    热门回答
    写回答
    © 2022 WANGAN.COM 帮助网安从业者成长;关注产业发展,做网络安全忠诚卫士!