不知屏幕前的你用的是什么瀏覽
器?由于目前針對Internet
Explorer的惡意代碼太多,筆者現(xiàn)在常用Firefox搜索東西。喜歡這種開源軟件的理由很簡單:安全并且擁有很多令人愛不釋手的擴展插件,借助于
這些好東東我們可以放心地瀏覽網絡、接收電子郵件。如今,為Firefox開發(fā)的擴展插件越來越多。下面就具體看看可以讓我們將Firefox變?yōu)橐粋€強
大武器的三大工具。不過,話又說回來,這些擴展程序并非專用于增強Firefox的安全性,但通過它使用起來卻更加方便。
數(shù)據(jù)修改大師Tamper Data
如果你只能為自己的瀏覽安裝一個安全衛(wèi)士,則非“Tamper
Data”莫屬。過去,筆者用Paros Proxy 和 Burp
Suite來阻止瀏覽器和Web服務器之間的請求信息和響應。現(xiàn)在這些任務可以借助于Firefox和Tamper
Data實現(xiàn),而無需對代理進行配置。易用就好嘛。
現(xiàn)在用瀏覽器上網沖浪離不開cookie,它是由 Web
頁服務器置于你硬盤上的一個非常小的文本文件。或許可以這樣講它是你的身份證。雖然它只能由提供它的服務器來讀取,不過它會泄露你的信息。如果你想訪問的
網站需要一個唯一的cookie,或者說用戶代理,那么筆者建議你在將cookie發(fā)送到Web服務器之前,先用Tamper
Data截獲其請求。然后,對其屬性進行增加、修改等操作,然后再發(fā)送。我們甚至也可以在瀏覽器解釋來自Web服務器的響應之前,對這種響應加以修改。我
們覺得安全的則留,不安全的則棄之。豈不妙哉!總之,這是一款對Web應用程序的安全感興趣的眾多網友的好工具。
下面給出Tamper Data的日志窗口:(圖1)
圖 1
Tamper Data的修改窗口:(圖2)
圖 2
安全高于一切:Paros和 Burp
1.Paros
正如其開發(fā)團隊所言,Paros這個程序是為那些需要評估其Web應用程序的安全性而設計的。它用Java語言編寫,并完全免費。通過Paros的代理特性,服務器和客戶端的所有的HTTP和HTTPS數(shù)據(jù),包括cookies和表單字段,都可以被截獲和修改。
其功能當然是不錯了。如捕捉功能,即可以手動捕捉和修改HTTP(和HTTPS)的
請求和響應;過濾器功能,即對HTTP消息模式進行檢測并發(fā)出警告,幫助用戶處理;掃描功能,即可以掃描一些常見的漏洞;日志功能,即允許用戶查看并檢查
所有的HTTP請求/響應內容。等等。如下圖3
圖 3
2.Burp套件
其實,Burp套件是一個用于攻擊Web應用程序的集成性的平臺。它包含很多工具,
如代理服務器、圈套程序、入侵程序、轉發(fā)程序等,擁有許多接口,可以促進、加強攻擊Web應用程序的進程。所有的插件共享Burp的健壯框架,可以處理
HTTP請求、認證、下游代理(downstream proxies)、日志、警告、可擴展性要求等。
Burp套件允許一個攻擊者將手動的和自動的技術結合起來,列舉、分析、攻擊并查找web應用程序的漏洞。多種Burp工具有效地結合起來,可以共享信息,并且允許用一種工具找到的漏洞來形成用另外一種工具攻擊的根據(jù)。
●其關鍵特性有:
(1)能夠被動地以一種非入侵方式“圈住”一個應用程序,并可使所有的請求都起源于用戶的瀏覽器。
(2)一次單擊就可以在插件之間傳送數(shù)據(jù)請求。
(3)通過IburpExtender接口進行擴展,這也就容許了第三方的代碼擴展Burp套件的功能。由一個插件處理的數(shù)據(jù)可以用任意的方式來影響另外一個插件的行為和結果。
(4)可以為下游代理、Web、代理認證和日志集中配置。
●Burp套件的下載地址為:http://portswigger.net/suite/
如果你對這些工具感興趣,不妨下載試試。一定會為你帶來驚喜的。