Configurar Firefox como herramienta para auditorias de seguridad

Esta es una recopilación de extensiones para Firefox útiles para esas auditorias de seguridad que a todos nos gusta hacer a nuestras web’s. Os las agrupo por el tipo de objetivo al que están destinadas:

Obtención de información

  • Whois y localización geográfica.
    • ShowIP : Muestras la IP de la pagina que estamos visitando en la barra de estado. también permite hacer consultas a servicios personalizados por IP o por Hostname algunos de esos servicios son whois, netcraft……
    • Shazou : Permite que el usuario con un solo clic localice geográficamente cualquier web que este visitando.
    • HostIP.info Geolocation : Muestra la información de su localización geográfica usando los datos hostip.info .
    • Active Whois : Obtiene detalles acerca del propietario del sitio y su servidor de hospedaje.
    • Bibirmer Toolbar : Es una extensión con múltiples aplicaciones. Incluye:
      • WhoIs
      • Informes DNS
      • Geolocalizacion
      • Traceroute
      • Ping

  • Enumeración y fingerprinting
    • Header Spy: Muestra los Headers HTTP en la barra de estado.
    • Header Monitor : esta extensión muestra en la barra de estado cualquier Header HTTP de respuesta (Response header) devuelto por el servidor. Algunos ejemplos son Content-Encoding, Content-Type, X-Powered-By, etc…
  • Ingeniería social
  • Googling y spidering
    • Advanced dork : Da acceso rápido a los Google’s Advanced Operators desde el menú contextual.
    • SpiderZilla: Es una utilidad de uso rápido para realizar un website mirror.
    • View Dependencies : Añade una pestaña al menú de Información de pagina en el que se listan todos los archivos que se han tenido que cargar para la correcta visualización de la web.

Asesoramiento de seguridad y auditoria de código

  • Editores
    • JSView : La opción de ver el código fuente ahora abre archivos en función del comportamiento que hallas elegido en la extensión. Esto te permite abrir el editor de código fuente en una pestaña o en una ventana nueva según tu criterio.
    • Cert Viewer Plus : Añade dos opciones al visor de certificados de Firefox o Thunderbird:
      • Un certificado X.509 también puede ser mostrado en formato PEM
      • Un certificado X.509 también puede ser guardado en formato PEM, DER o PKCS#7
    • Firebug : Se integra con Firefox y permite editar, monitorizar y debugear CSS, HTML y JavaScript en vivo.
    • XML Developer Toolbar: Herramientas de desarrollo XML directamente desde tu navegador.
  • Manipulación de cabeceras
    • Header Monitor : esta extensión muestra en la barra de estado cualquier Header HTTP de respuesta (Response header) devuelto por el servidor. Algunos ejemplos son Content-Encoding, Content-Type, X-Powered-By, etc…
    • RefControl : Controla que GET’s envía como HTTP Referer en base a cliente-servidor.
    • User Agent Switcher :Añade un menú y una barra de herramientas para cambiar el user agent del navegador.
  • Manipulación de cookies
    • Add N Edit Cookies : Editor de cookies que te permite añadir y editar tanto cookies de sesión como almacenadas.
    • CookieSwap : Esta extensión permite tener conjuntos o perfiles de cookies que puedes intercambiar fácilmente mientras navegas.
    • httpOnly : Añade soporte para Firefox de la cookie httpOnly encriptando las cookies marcadas como en el lado del navegador.
    • Allcookies : Vuelca todas las cookies a un fichero cookies.
  • Auditoria de seguridad
    • HackBar : Esta barra de herramientas permite probar SQL Injections, XSS Holes y la seguridad del sitio. No es una herramienta para ejecutar exploits estándares y no te va a enseñar a hackear un web. Su objetivo principal es ayudar a los desarrolladores a testear su código fácilmente.
    • Tamper Data : Permite ver y modificar las cabeceras HTTP y HTTPS al igual que los parámetros POST.
    • Chickenfoot : Integra un entorno de desarrollo en la barra lateral de Firefox. Te permite crear scripts para manipular las páginas web y automatizar las búsquedas web. Los scripts están escritos en un superconjunto de JavaScript con funciones especiales específicas de tareas web.

Utilidades proxy y web

  • FoxyProxy : Herramienta para administrar las configuraciones de proxy’s, sustituye completamente a el administrador de proxy’s que trae Firefox.
  • SwitchProxy: Menos potente que la extensión anterior, básicamente permite cambiar de configuración de proxy fácilmente.
  • POW (Plain Old WebServer) : Esta extensión utiliza Server-side Javascript (SJS) para correr un server desde tu navegador. Recomiendo que lo probéis por curiosidad y descubráis las virtudes de esta extensión.

Miscelánea

  • Encriptación
    • Fire Encrypter : Esta extensión nos ofrece funcionalidades de encriptación/decrepitación y de hashing.
  • Anti Spoof
    • refspoof : Esta extensión falsea el header HTTP URL_REFER a través del pseudo protocolo spoof, permitiendo falsear la URL de procedencia.

Y con esto damos por cerrado de momento el post, conforme vayan llegando a mis oídos mas extensiones interesantes os las iré comentando.

Agurr