喜歡Firefox這種開(kāi)源軟件的理由很簡(jiǎn)單：安全并且擁有很多令人愛(ài)不釋手的擴(kuò)展插件，借助于這些好東東我們可以放心地瀏覽網(wǎng)絡(luò)、接收電子郵件。如今，為Firefox開(kāi)發(fā)的擴(kuò)展插件越來(lái)越多。下面就具體看看可以讓我們將Firefox變?yōu)橐粋€(gè)強(qiáng)大武器的三大工具。不過(guò)，話又說(shuō)回來(lái)，這些擴(kuò)展程序并非專用于增強(qiáng)Firefox的安全性，但通過(guò)它使用起來(lái)卻更加方便。

數(shù)據(jù)修改大師Tamper Data

如果你只能為自己的瀏覽安裝一個(gè)安全衛(wèi)士，則非“Tamper Data”莫屬。過(guò)去，筆者用Paros Proxy 和 Burp Suite來(lái)阻止瀏覽器和Web服務(wù)器之間的請(qǐng)求信息和響應(yīng)。現(xiàn)在這些任務(wù)可以借助于Firefox和Tamper Data實(shí)現(xiàn)，而無(wú)需對(duì)代理進(jìn)行配置。易用就好嘛。

現(xiàn)在用瀏覽器上網(wǎng)沖浪離不開(kāi)cookie,它是由 Web 頁(yè)服務(wù)器置于你硬盤上的一個(gè)非常小的文本文件。或許可以這樣講它是你的身份證。雖然它只能由提供它的服務(wù)器來(lái)讀取，不過(guò)它會(huì)泄露你的信息。如果你想訪問(wèn)的網(wǎng)站需要一個(gè)唯一的cookie，或者說(shuō)用戶代理，那么筆者建議你在將cookie發(fā)送到Web服務(wù)器之前，先用Tamper Data截獲其請(qǐng)求。然后，對(duì)其屬性進(jìn)行增加、修改等操作，然后再發(fā)送。我們甚至也可以在瀏覽器解釋來(lái)自Web服務(wù)器的響應(yīng)之前，對(duì)這種響應(yīng)加以修改。我們覺(jué)得安全的則留，不安全的則棄之。豈不妙哉!總之，這是一款對(duì)Web應(yīng)用程序的安全感興趣的眾多網(wǎng)友的好工具。

下面給出Tamper Data的日志窗口：(圖1)

圖1

Tamper Data的修改窗口：(圖2)

圖2

安全高于一切：Paros和 Burp

1.Paros

正如其開(kāi)發(fā)團(tuán)隊(duì)所言，Paros這個(gè)程序是為那些需要評(píng)估其Web應(yīng)用程序的安全性而設(shè)計(jì)的。它用Java語(yǔ)言編寫，并完全免費(fèi)。通過(guò)Paros的代理特性，服務(wù)器和客戶端的所有的HTTP和HTTPS數(shù)據(jù)，包括cookies和表單字段，都可以被截獲和修改。

其功能當(dāng)然是不錯(cuò)了。如捕捉功能，即可以手動(dòng)捕捉和修改HTTP(和HTTPS)的請(qǐng)求和響應(yīng);過(guò)濾器功能，即對(duì)HTTP消息模式進(jìn)行檢測(cè)并發(fā)出警告，幫助用戶處理;掃描功能，即可以掃描一些常見(jiàn)的漏洞;日志功能，即允許用戶查看并檢查所有的HTTP請(qǐng)求/響應(yīng)內(nèi)容。等等。如下圖3

圖3

2.Burp套件

其實(shí)，Burp套件是一個(gè)用于攻擊Web應(yīng)用程序的集成性的平臺(tái)。它包含很多工具，如代理服務(wù)器、圈套程序、入侵程序、轉(zhuǎn)發(fā)程序等，擁有許多接口，可以促進(jìn)、加強(qiáng)攻擊Web應(yīng)用程序的進(jìn)程。所有的插件共享Burp的健壯框架，可以處理HTTP請(qǐng)求、認(rèn)證、下游代理(downstream proxies)、日志、警告、可擴(kuò)展性要求等。

Burp套件允許一個(gè)攻擊者將手動(dòng)的和自動(dòng)的技術(shù)結(jié)合起來(lái)，列舉、分析、攻擊并查找web應(yīng)用程序的漏洞。多種Burp工具有效地結(jié)合起來(lái)，可以共享信息，并且允許用一種工具找到的漏洞來(lái)形成用另外一種工具攻擊的根據(jù)。

其關(guān)鍵特性有：

(1)能夠被動(dòng)地以一種非入侵方式“圈住”一個(gè)應(yīng)用程序，并可使所有的請(qǐng)求都起源于用戶的瀏覽器。

(2)一次單擊就可以在插件之間傳送數(shù)據(jù)請(qǐng)求。

(3)通過(guò)IburpExtender接口進(jìn)行擴(kuò)展，這也就容許了第三方的代碼擴(kuò)展Burp套件的功能。由一個(gè)插件處理的數(shù)據(jù)可以用任意的方式來(lái)影響另外一個(gè)插件的行為和結(jié)果。

(4)可以為下游代理、Web、代理認(rèn)證和日志集中配置。

Burp套件的下載地址為：http://portswigger.net/suite/

如果你對(duì)這些工具感興趣，不妨下載試試。一定會(huì)為你帶來(lái)驚喜的。