網站資訊安全測試基本工具 HackerFox
對於網站的資訊安全測試可以有哪些基本工具做測試呢?
其實一般的 Browser 就可以透過安裝 addon 的方式,將 Brwoser 變成資訊安全測試工具
只要基本的觀念弄熟了,接著就是工具好用不好用
特別是資訊安全領域,基本觀念很重要,
才不會受制於工具,有特定工具才會測試,工具一更新改版就不會測試
Web Hacker’s Favorites [HackerFox]
這邊介紹的是 FireFox Addon ,一來 FireFox 是 opensource的緣故,
所以相關的免費 addon 都有一定的品質,跟資訊安全測試的 addon 也相對比較完整
https://addons.mozilla.org/zh-TW/firefox/collections/yehgdotnet/webhacker/
這是一個 FireFox 資訊安全相關 addon 的一個集合
共有 130+多個 addon 可以安裝,這邊介紹幾個筆者比較會用到的 addon
Firebug
Firebug 類似每個瀏覽器都會提供的 F12 開發工具,在資訊安全測試上,主要用來執行一些簡單的 JavaScript 或是驗證 client 端的一些檢查的邏輯,例如輸入字元長度限制等。
User Agent Switcher
UserAgent 主要用在告訴網站目前的 Browser 為何,
例如 IE 10 or FireFox 22 or Android 、 iPad 等,網站會進一步依據該 Browser 的類型,
顯示對應的網頁或是行動版的網頁。
或是錯誤訊息,例如 IE 8以下不支援等
透過 User Agent 的切換,就可以在一台電腦上,
模擬測試網站對於這些不同裝置瀏覽器的畫面顯示邏輯行為,
而不用準備各式各樣真實的裝置。
Tamper Data
每次網頁按 submit 或是 ok 時, Temper Data 就會及時攔截,
並且出現式窗讓測試人員知道該即將送出的 http request 參數的內容為何,
並且也可以透過這樣的方式及時修改參數的內容或是新增
對於網頁原本輸入的欄位長度有所限制的情況下,
也可以用這樣的方式輸入任意長度字元,測試後端網站是否有進一步再次檢查
Cookies Manager+
用來修改、新增 cookie 與相關屬性
因為 cookie 通常存放與 Session or Authentication 或是使用者資訊相關
透過一些 cookie 的編輯,測試是否可以有 session 設計上的弱點
Wappalyzer
這個工具主要用來得知該網站所使用的技術為何,例如 IIS or apache
駭客通常根據這樣的資訊進一步查詢已知的弱點並進行攻擊
我們也可以透過這個工具測試是否網站回傳過多的資訊,
導致該後台相關的技術被得知
HttpRequester
有些情況下我們會自己手動建立 http request 測試後台網站的處理狀況
特別是 http post 的request 其中的參數需要微調或是新增時
就可以利用這樣的工具 http request maker
以上介紹資訊安全測試的必備工具,當然這樣的工具一刀兩刃
在學會這樣的工具與技能的同時,
期許大家一起將這樣的工具技術應用在對社會有益處的貢獻上。