不知屏幕前的你用的是什么瀏覽
器?由于目前針對Internet
Explorer的惡意代碼太多,筆者現在常用Firefox搜索東西。喜歡這種開源軟件的理由很簡單:安全并且擁有很多令人愛不釋手的擴展插件,借助于
這些好東東我們可以放心地瀏覽網絡、接收電子郵件。如今,為Firefox開發(fā)的擴展插件越來越多。下面就具體看看可以讓我們將Firefox變?yōu)橐粋€強
大武器的三大工具。不過,話又說回來,這些擴展程序并非專用于增強Firefox的安全性,但通過它使用起來卻更加方便。
數據修改大師Tamper Data
如果你只能為自己的瀏覽安裝一個安全衛(wèi)士,則非“Tamper
Data”莫屬。過去,筆者用Paros Proxy 和 Burp
Suite來阻止瀏覽器和Web服務器之間的請求信息和響應。現在這些任務可以借助于Firefox和Tamper
Data實現,而無需對代理進行配置。易用就好嘛。
現在用瀏覽器上網沖浪離不開cookie,它是由 Web
頁服務器置于你硬盤上的一個非常小的文本文件。或許可以這樣講它是你的身份證。雖然它只能由提供它的服務器來讀取,不過它會泄露你的信息。如果你想訪問的
網站需要一個唯一的cookie,或者說用戶代理,那么筆者建議你在將cookie發(fā)送到Web服務器之前,先用Tamper
Data截獲其請求。然后,對其屬性進行增加、修改等操作,然后再發(fā)送。我們甚至也可以在瀏覽器解釋來自Web服務器的響應之前,對這種響應加以修改。我
們覺得安全的則留,不安全的則棄之。豈不妙哉!總之,這是一款對Web應用程序的安全感興趣的眾多網友的好工具。
下面給出Tamper Data的日志窗口:(圖1)
圖 1
Tamper Data的修改窗口:(圖2)
圖 2
安全高于一切:Paros和 Burp
1.Paros
正如其開發(fā)團隊所言,Paros這個程序是為那些需要評估其Web應用程序的安全性而設計的。它用Java語言編寫,并完全免費。通過Paros的代理特性,服務器和客戶端的所有的HTTP和HTTPS數據,包括cookies和表單字段,都可以被截獲和修改。
其功能當然是不錯了。如捕捉功能,即可以手動捕捉和修改HTTP(和HTTPS)的
請求和響應;過濾器功能,即對HTTP消息模式進行檢測并發(fā)出警告,幫助用戶處理;掃描功能,即可以掃描一些常見的漏洞;日志功能,即允許用戶查看并檢查
所有的HTTP請求/響應內容。等等。如下圖3
圖 3
2.Burp套件
其實,Burp套件是一個用于攻擊Web應用程序的集成性的平臺。它包含很多工具,
如代理服務器、圈套程序、入侵程序、轉發(fā)程序等,擁有許多接口,可以促進、加強攻擊Web應用程序的進程。所有的插件共享Burp的健壯框架,可以處理
HTTP請求、認證、下游代理(downstream proxies)、日志、警告、可擴展性要求等。
Burp套件允許一個攻擊者將手動的和自動的技術結合起來,列舉、分析、攻擊并查找web應用程序的漏洞。多種Burp工具有效地結合起來,可以共享信息,并且允許用一種工具找到的漏洞來形成用另外一種工具攻擊的根據。
●其關鍵特性有:
(1)能夠被動地以一種非入侵方式“圈住”一個應用程序,并可使所有的請求都起源于用戶的瀏覽器。
(2)一次單擊就可以在插件之間傳送數據請求。
(3)通過IburpExtender接口進行擴展,這也就容許了第三方的代碼擴展Burp套件的功能。由一個插件處理的數據可以用任意的方式來影響另外一個插件的行為和結果。
(4)可以為下游代理、Web、代理認證和日志集中配置。
●Burp套件的下載地址為:http://portswigger.net/suite/
如果你對這些工具感興趣,不妨下載試試。一定會為你帶來驚喜的。