04.26.17
por

Plugins de Firefox para Web App Pentesting

Hoy he decidido escribir este post por que el viernes pasado estuve impartiendo un taller de OWASP TOP 10 Web en el LATAM TOUR 2017 de OWASP en Riviera Maya y una parte del curso vimos como a través de plugins de Firefox podemos facilitar la tarea de recolección de información e identificación de la aplicación web.

A continuación les dejo una lista de los plugins que utilizo en algunas actividades de Web App Pentesting con una descripción breve de la funcionalidad que nos brinda.

[Firebug] – Nos permite realizar una inspección profunda y detallada del código fuente y recursos de la aplicación web, es similar a los “developers tools” que traen por defecto los navegadores pero Firebug nos proporciona capacidades adicionales en la inspección.

[FoxyProxy] – Gracias a FoxyProxy podemos realizar cambios rápidos de la configuración de proxy del navegador, es muy útil a la hora de encontrarnos trabajando con aplicaciones como OWASP ZAP / Burp Suite para intercambiar rápidamente.

[PassiveRecon] – Un framework de recolección de información e identificación para la aplicación web que nos encontramos revisando, tenemos opciones directas para obtener información de Robtex, Netcraft, Domain Health, Búsquedas avanzadas en Google etc.

[ShowIP] – Nos agrega directamente a la barra del navegador un apartado mostrando la IP de la aplicación web en la que nos encontramos en ese momento.

[TamperData] – Permite interceptar peticiones HTTP y modificar los parámetros de la aplicación.

[User Agent Switcher] – Nos facilita el cambio de User Agent en el navegador para visualizar la página web “emulando” otro navegador/dispositivo diferente al que nos encontramos utilizando.

[Wappalyzer] – Agrega al navegador una barra informativa en la que identifica las tecnologías que utiliza la aplicación web en la que nos encontramos actualmente. Muy útil para la identificación primaria y obtener la plataforma principal, lenguajes de programación, CMS, plugins que utiliza la aplicación etc.

Les comparto el enlace a una colección que he creado en Mozilla para que puedas explorar los plugins descritos anteriormente.

https://addons.mozilla.org/es/firefox/collections/edgarbaldemarmx/webpentest/

¿Conoces algún otro plugin útil a la hora de realizar web app pentesting?

Deja tu comentario! 
Happy Hacking!

@edgarbaldemarmx

Escribir un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Cancelar

Conectando a %s