Si hay una herramienta útil a la hora de buscar vulnerabilidades web, esa es Firefox y su montaña de extensiones. La verdad es que no necesito de nada más cuando quiero buscar problemas en una web.Existen decenas o quizás cientos de extensiones dedicadas a la seguridad, muchas con tremenda funcionalidad. Es por eso que se me ocurrió listar las extensiones que utilizo en mi trabajo diario, así ustedes también pueden aprovecharlas. Si tienen extensiones para recomendar, dejen sus comentarios!
Firebug
Firebug no está precisamente destinada a buscar vulnerabilidades (está destinada a desarrolladores web), pero es una de las herramientas que más utilizo. Esta nos permite ver el código de la página de forma ordenada y rápida (código desplegable). Incluye una función que nos permite hallar el código de cualquier parte de la página con un par de clicks.
Esta herramienta también nos permite ver fácilmente código JavaScript, estilos CSS, además de mostrarnos los errores arrojados por scripts que fallan.
Por otro lado, es posible modificar el código de la página y ver cómo se modifica en tiempo real. Realmente un lujo.
Tamper Data
Otro que uso constantemente. Tamper Data nos permite capturar los parámetros HTTP que se envían desde el browser al servidor y modificarlos antes de ser entregados. De esta forma podemos cambiar cosas como User Agent, Cookies, parámeotros post, Referer, etc, antes de que el browser los envíe al servidor.
Gracias a esto podemos ver distintas reacciones de la página a distintos parámetros.
Hackbar
Esta extensión nos proporciona una barra adicional muy útil a la hora de hacer pruebas. En esta barra contamos con herramientas como generadores de código SQL utilizado en pruebas de hacking, generador de texto codificado con String.fromCharCode, codificador HTML, funciones de hashing como MD5, SHA1, codificadores/decodificadores de base64, URL, Hexa, y algunas cosas más.
Es muy útil porque nos ahorra tiempo de escritura y de búsqueda (muchas veces no me acuerdo como es la sintaxis de una dada función, o cómo se codifica una /).
Groundspeed
Utilísima extensión para realizar inyecciones. Groundspeed permite al usuario ver todos los campos de los formularios presentes en la página, mostrando incluso los hidden, e ingresar cualquier parámetro que desee. Gracias a esto podemos eliminar restricciones de largo de los input, o controles JavaScript, osea, eliminar las limitaciones impuestas por la interfaz presentadas al usuario.
Si bien con esos cuatro suele alcanzarme para todo, también tengo instalados otros bastante interesantes y útiles. Estos son:
Live HTTP Headers
Nos permite ver en tiempo real los headers HTTP que se envían y reciben desde los servidores. Es posible aplicar filtros sobre lo que deseamos visualizar y reenviar pedidos.
No lo utilizo demasiado porque Tamper Data puede hacer esto y más.
SQL Inject Me
Como se imaginarán por el nombre, SQL Inject Me nos permite automatizar las pruebas de SQL Injection sobre una página. Con esta extensión seleccionamos los campos del formulario sobre el que queremos hacer pruebas y el programa envia cientos de combinaciones de inyección posibles. Luego nos devuelve una página mostrando con qué combinaciones se tuvo éxito, cuales arrojaron errores y cuales no sirvieron.
Es muy útil para hacer pruebas rápidas, pero como siempre digo, los test SQL Injection y XSS son casi un arte, las herramientas automatizadas no suelen arrojarme buenos resultados.
XSS Me
El equivalente de SQL Inject Me, pero para hacer pruebas de XSS. Al igual que SQL Inject Me nos permite seleccionar formularios y enviar distintos test para luego arrojarnos una página con información sobre lo encontrado.
Existe un proyecto interesante denominado FireCAT (Firefox Catalog of Auditing exTension) que se encarga de armar un mapa mental con las extensiones conocidas para realizar auditorías de seguridad. La gente de este proyecto provee un gráfico (pdf) con los nombres de las extensiones y su relación con los aspectos de seguridad.
Help Net Security publicó hace un tiempo su top 5 de extensiones de firefox dedicadas a la seguridad, ahí fue que conocí Groundspeed. Si quieren pueden hecharle un vistazo a la lista, aunque no mencionan ninguno que no haya sugerido en este post =)
0 comentarios:
Publicar un comentario