Swift with Furkan

Pentestlerde Kullanılacak Firefox Eklentileri

Güvenlik testi yaparken birçok araca ihtiyaç duyulur. Bazen çok basit şeyleri bile yapmak için araçları kullanmak gerekebilir ama eğer Firefox kullanıyorsanız bu eklentiler ile araçların yerine hızlı bir şekilde yapmak istediklerinizi yapabilirsiniz. Sık kullanılan ve çoğunluğun tercih ettiği eklentileri sıraladım ama tabi ki bu liste artırılabilir. Firefox için geçerli bu eklentilerin birçoğunu ve ya benzerlerini chrome içinde bulabilirsiniz. İlerleyen vakitlerde Chrome kullananlar içinde bir liste yapabiliriz.


1. Tamper Data

 HTTP/HTTPS header ve post parametrelerini değiştirmek ve görüntülemek için kullanılan bir araçtır. Bununla birlikte en çok kullanılan popüler bir eklentidir. Bu eklenti ile hedefe üzerindeki post ve get istekleri üzerinde değişiklik yapmayı sağlar. Bu şekilde güvenlik testlerinde yapılacak XSS ve SQLi saldırılarında da yardımcı olur.

https://addons.mozilla.org/en-us/firefox/addon/tamper-data/

2. Fire Bug

 Web geliştiricilerinin en büyük yardımcılarından biri olan bu araç, anlık olarak browser üzerinde HTML, CSS ve JS inceleyebilir ve hata ayıklamalarını yapabilir. Aynı zamanda web uygulama güvenliği içinde etkili bir eklentidir. Bu eklenti ile JS dosyaları incelenerek XSS açıkları kontrol edilebilir. Elde edilen verilere göre DOM Based XSS gibi ataklar gerçekleştirilebilir.

https://addons.mozilla.org/en-US/firefox/addon/firebug/

3. Hackbar

 Hackbar Firefox için hazırlanmış basit bir pentest aracıdır. SQLi ve XSS testlerinde yardımcı olur. Direk olarak saldırıda bulunmaz ama hedef üzerinde zafiyet olup olmadığını anlamaya yardımcı olur. Bu araç ile hedefe elle POST veri gönderip ataklarda bulunulabilir. Bunun dışında şifreleme ve encode işlemi yapar. Kullanımı basit olan bu araç siteyi ilk analiz aşamasında hızlı bir şekilde kontrol etmek için kullanılabilecek en iyi araçlardan biridir.

https://addons.mozilla.org/en-US/firefox/addon/hackbar/

4. Cookie Manager+

 Firefox Eklentiler arasındaki en büyük araçlardan biride Cookie Manager+ dır. Adından da belli olduğu gibi cookie yönetim aracıdır. Bu araç ile cookieleri görüntüleyebilir, düzenleyebilir ve yeni cookieler oluşturabilirsiniz. Cookieler hakkında detaylı bilgi verebilir ve aynı andan birden çok cookie yedekleme ve geri yükleme eylemini gerçekleştirir.

https://addons.mozilla.org/en-US/firefox/addon/cookies-manager-plus/

5. NoScript

NoScript çok büyük ve popüler bir eklentidir. Bu araç ile web sitesi üzerindeki çalışan scriptler görüntülenebilir ve bloklanabilir. Bunun dışında site üzerinde neler yaptığı da kontrol edilebilir. Genel olarak uzmanlar tarafından kullanılır. Bu eklentiyi güvenlik testi yaparken kapatılması gerekebilir çünkü bu araç SQLi ve Xss saldırılarını engelleyebilir ve sizin doğru sonuçlara gitmenizi engelleyebilir.

https://addons.mozilla.org/en-us/firefox/addon/noscript/

6. GreaseMonkey 

NoScript ile ters mantık çalışan bir eklentidir. Script bloklamak için NoScript kullanırken, çalıştırmak için ise GreaseMonkey kullanılır. Tam olarak bir web sitesini istediği gibi kullanmaya yarar. Tek başına bir işe yaramaz, kendi yazdığınız scriptkler ve ya paylaşılan scriptler ile kullanabilirsiniz. Örnek olarak bir site üzerinde video indirme, google sayfalarında renk değiştirme vb…

https://addons.mozilla.org/en-US/firefox/addon/greasemonkey/

7. User Agent Switcher 

User Agent Switcher eklentisi birçok amaç için kullanılabilir. Örnek; bir web sitesine girildiğinde arka tarafta hangi tarayıcı ile gelindiği gösterilir. Bu uygulama ile bu değiştirilerek, sayfaya  başka bir tarayıcı ve ya mobil bir tarayıcı ile geliyor gibi gösterilebilir. Bu araç ile hedef sisteme atak yapılacağı zaman, karşı tarafa tarayıcı bilgisi saklanabilir.

https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/

8. CryptoFox 

CryptoFox, Firefox için geliştirilmiş şifreleme ve şifre çözme aracıdır. Birçok şifreleme algoritmasını desteklemektedir. Bu sayede desteklenen şifre algoritmalarını kolayca çözülebilir. Aynı zamanda md5 şifrelerini kırmak ve sözlük saldırılarını da desteklemektedir.

https://addons.mozilla.org/en-US/firefox/addon/cryptofox/

9. SQL Inject Me

Firefox için en güzel eklentilerden biridir, bir web uygulama üzerinde SQLi bulmak için kullanılır. Ama sadece zafiyet olduğunu gösterir, bu zafiyeti exploit etmez. SQLi açıkları çok eski olmasına rağmen hala varlığını sürdüren tehlikeli bir açıktır ve birçok sistemde mevcuttur. Bu yüzden hedef üzerine bu tür ataklar yapılacağı zaman bu araç adımları daha da hızlandırmaya yardımcı olur.

https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/

10. XSS Me

Diğer önemli açıklardan biriside XSS (Cross Site Scripting) açığıdır. SQLi gibi bir çok web uygulama üzerinde mevcuttur. Bu araç ile ise hem açığı bulur hem de saldırı yapmaya olanak sağlar. Saldırı ise sizin daha önceden belirlemiş olduğunu XSS payloadlar ile olur. Web uygulama testlerinde XSS açığı aramak için pratik araçlardan biridir.

https://addons.mozilla.org/en-us/firefox/addon/xss-me/

11. Passive Recon

Web sayfaları üzerinde herhangi bir iz bırakmadan bilgi toplayan bir araçtır. Pasif bilgi toplama aracıdır. Backtrack üzerinde aynı işi yapan birçok araçta mevcuttur. Ama hızlılık ve anlık kontrol açısından kullanım kolaylığı sağlamaktadır.

https://addons.mozilla.org/en-US/firefox/addon/passiverecon/

12. Host Spy

Herhangi bir Ipnin komşularını görüntülemeyi sağlayan Firefox araçlarından biridir. Aynı ip üzerindeki diğer siteleri görebilirsiniz.

https://addons.mozilla.org/en-us/firefox/addon/host-spy/

13. Firesheep

Firesheep aracı Firefox üzerindeki en etkili araçlardan biridir. Aynı ağ üzerindeki cookieleri yakalan bir araçtır. Tek başına değil Winpcap kütüphanesi ile beraber kullanılır. Yakaladığı cookieler ile facebook, twitter, youtube vs gibi birçok hesap ele geçirilebilir. Bu yüzden bağladığımız Wireless ağlarına dikkat etmek gerekir. Bu aracın bir benzeri de Facesniff aracıdır, bu araç ise Android içindir.

http://codebutler.com/firesheep/

14. Proxy Bar

Proxy değiştirme aracıdır. Proxy sürekli değiştirerek konumunuzun bulunmamasını sağlar. Bu tür araçları yasaklı sitelere girmek içinde kullananlar vardır. Bu aracın dışında diğer popüler araç ise FoxyProxy dir.

https://addons.mozilla.org/en-us/firefox/addon/proxybar/

15. WOT (Web of Trust)

Bu araç ise son kullanıcı ağırlıklı bir araçtır. Bu araç tehlike içeren ve güvenilir olan siteleri gösterir. Aynı zamanda link koruması da mevcuttur bu şekilde gelen maillerin barındırdığı linkleri sizin için kontrol eder. Bu şekilde güvenli bir şekilde İnternet üzerinde dolaşmanızı sağlar. Bu aracın benzerleri de mevcuttur. Ama birinin ak dediğine diğeri kara diyebiliyor bu yüzden dikkatli olmak gerek.

https://addons.mozilla.org/en-US/firefox/addon/wot-safe-browsing-tool/

16. Exploit Search

Burada ise en çok kullanılan exploit arama araçları yer alıyor. Hepsini tek başlık altında yazmak istedim.

Packet Storm https://addons.mozilla.org/en-us/firefox/addon/packet-storm-search-plugin/

Exploit.db https://addons.mozilla.org/en-us/firefox/addon/offsec-exploit-db-search/

Security Focus https://addons.mozilla.org/en-us/firefox/addon/securityfocus-vulnerabilities-/

OSVDB https://addons.mozilla.org/en-us/firefox/addon/osvdb/

17. Wappalyzer

 Bu araç ile sitelerin kullandığı uygulama ve yazılımları belirlemekte yardımcı olur. Bunlar öğrenilerek yukarıdaki araçlar ile ne tür zafiyetler olduğu araştırılabilir.

https://addons.mozilla.org/en-us/firefox/addon/wappalyzer/

18. Server Spy

Bu araç ise adından da belli olduğu gibi sunucu bilgisi gösterir. (Apache, ISS ) Web sunucu bilgileri de bizim için önemlidir. Çünkü hedef üzerinde sunucu zafiyetlerine göre çeşitli ataklar düzenleyebiliriz.

https://addons.mozilla.org/en-US/firefox/addon/server-spy/

Not: Buradaki bütün araçlar güvenlik ve pentestlerde kullanmak için yazılmıştır. İllegal kullanımında sorumluluk şahsa aittir.

Furkan SANDAL

Exit mobile version