Хак-машина з Google Chrome: збираємо хакерську збірку розширень для браузера від Google

  1. Зміст статті Дуже багато вражаюче і радіють швидкості роботи Google Chrome, але дивна річ, навіть...
  2. Маніпуляція з HTTP-запитами
  3. Ігри з кукисам
  4. Пентест веб-додатків
  5. Анонімність і безпеку

Зміст статті

Дуже багато вражаюче і радіють швидкості роботи Google Chrome, але дивна річ, навіть не пробували підключити додаткові розширення. Яка дурість! Тлумачних аддонів поки дійсно не так багато, але вже зараз є набір розширень, які можуть стати в нагоді для пенстеста. Втім, більшість з них з великою ймовірністю виявляться корисними і для цілком мирних цілей.

Збір інформації та Fingerprinting

Аудит найчастіше починається з аналізу тих технологій і інструментів, які використовуються веб-додатком. Застосовувався чи якийсь готовий движок, на якому веб-сервері все крутиться, чи є ще сайти, які хостятся на тому ж сервері (і можливо уразливі) - відповіді на ці питання дадуть спеціальні розширення.

Wappalyzer

Wappalyzer

Цей аддон спочатку розроблений для Firefox, а тому ти, можливо, з ним уже знайомий. Зараз це, мабуть, найкраще рішення для визначення технологій, які застосовувалися для побудови ресурсу. Більшість движків CMS / форумів / блогів мають ряд характерних ознак, за якими можна розпізнати факт їх використання. Наприклад, тег <meta name = "generator» content = "WordPress 3.1" /> недвозначно вказує на те, що сайт побудований на движку WordPress. Чим займається Wappalyzer, так це досліджує вихідні сторінки і намагається розпізнати подібні мітки. У базі Wappalyzer є дані по всіх найпопулярнішим рішенням для створення порталів, блогів, форумів, хостинг-панелей, електронних магазинів.

Chrome Sniffer

Chrome Sniffer багато в чому повторює функціонал Wappalyzer'а і виконує fingerprinting використовуваних на сторінці фреймворків, двигунів і JS-бібліотек. Всього в базі зараз знаходяться зліпки 100 популярних інструментів. У разі вдалого розпізнавання їх іконки відображаються прямо в адресному рядку.

IP Address information

IP Address information

Їжу для роздумів може підкинути інформація про хості з WHOIS та інших відкритих джерел. І, мабуть, немає більш зручного способу її отримати, ніж заюзать IP Address information. Розширення в один клік надає геолокаційні інформацію, довідку з WHOIS, звіт з бази спам-ресурсів, дані про DNS, хостингу, а також (і це моє улюблене) сусідах по домену (інших сайтах, які хостятся на цьому ж сервері).

Web Server Notifier

А це розширення від одного паризького ботаніка (як він сам себе називає) роблять одну, але дуже важливу річ - намагається визначити веб-сервер, на якому крутиться проект. Розпізнавши Apache, IIS, Nginx, GWS, Lighttpd або якийсь інший веб-сервер, Web Server Notifier виводить відповідну піктограму в адресний рядок.

Web Technology Notifier

Web Technology Notifier

Не менш важливо знати, яка технологія використана для виконання веб-додатки: Ruby, PHP, ASP.NET або щось ще? Web Technology Notifier намагається здійснити відповідний fingerprinting. Важливо, що виявляються ще й багато пов'язані з цими технологіями інструменти: наприклад, Phusion Passenger для додатків на Ruby або Zope для додатків на Python.

HTTP Headers

Найчастіше адміністратори не намагаються приховати інформацію про використовувані програмні засоби і технології, і вона відображається прямо в HTTP-заголовках (наприклад, X-Powered-By і Server). Щоб швидко подивитися хедери у відповідях сервера, рекомендую встановити аддон HTTP Headers.

Маніпуляція з HTTP-запитами

Маючи певне уявлення про те, з чим маємо справу, можна приступати безпосередньо до аудиту. Інструментами першої необхідності тут є розширення, що дозволяють, по-перше, відстежувати ті HTTP-запити, які відправляються на веб-сервер, по-друге, як завгодно модифікувати їх, «граючи» з різними параметрами, і, по-третє, зручно переглядати повернувся результат.

Request Maker

Для Firefox'а є відомий аддон Tamper Data, який на льоту перехоплює і дозволяє змінити HTTP / HTTPS-заголовки, а також POST-параметри. В силу обмежень архітектури розширень Google Chrome повністю реалізувати аналогічний функціонал поки неможливо, але Request Maker максимально близько наблизився до цього. З його допомогою ти легко зможеш моніторити запити, зроблені веб-сторінками, гратися з URL, заголовками, і POST-даними, а також конструювати нові запити. Тут треба зазначити, що Request Maker перехоплює не всі, а тільки запити, надіслані через HTML-форми або XMLHttpRequests, тому в логах НЕ буде купи зайвої інформації про завантаження зображень або CSS-стилів.

HTTP Response Browser

HTTP Response Browser

Це розширення так само, як і Request Maker, призначене для складання найрізноманітніших HTTP-запитів (правда за допомогою XMLHttpRequest, що накладає обмеження). Ти можеш змінювати параметри запиту або хедерів і вивчати реакцію програми.

Advanced REST client Application

Інструмент, спочатку реалізований у вигляді розширення, а тепер Chrome-додатки (програми, що працює всередині браузера). На відміну від HTTP Response Browser, це не просто помічник для складання довільних HTTP-запитів. Advanced REST client пропонує багато цікавих фішок, в тому числі просунутий перегляд відповідей в форматах JSON і XML з підсвічуванням синтаксису, зручний укладач HTTP-заголовків (підказки + система автодоповнення) і багато іншого. Незамінна річ, коли необхідно взаємодіяти з сервісами, які повертають відповідь в JSON або XML-форматах.

Ігри з кукисам

Важливим компонентом для роботи веб-додатків є кукіси, які зберігає браузер. З їх допомогою сервіси дізнаються тебе, не запрошуючи повторної авторизації, відстежують твою активність (ай-ай-ай) і взагалі сильно в них потребують. На жаль, Chrome, як і інші браузери, практично не представляють можливостей для маніпуляції з кукисам. За замовчуванням.

Edit This Cookie

Edit This Cookie

Що дивно, для маніпуляції з кукисам довгий час не було навіть гідного розширення. І тільки зараз з'явився чудовий аддон Edit This Cookie, що дозволяє через спливаючу панель видалити довільні куки на цьому сайті, редагувати їх значення або створити вже нові «плюшки». Дуже радує можливість для автоматизації: задавши регулярку для пошуку, можна створити спеціальний фільтр, який буде автоматично видаляти небажані кукіси. Крім цього є опція для створення так званих Read-Only-кукисов, які не зможе модифікувати ніякої сайт і ніяке інше розширення.

Swap My Cookies

Необхідність використовувати кілька акаунтів на одному і тому ж ресурсі виникає вкрай часто. Щоб не морочитися з входом-виходом, набагато зручніше використовувати аддон Swap My Cookies. По суті, це менеджер сесій. Для будь-якого сайту ти можеш створити кілька профілів, кожен зі своїм набором кукисов, і швидко перемикатися між ними. Я це роблю за допомогою гарячих клавіш.

Пентест веб-додатків

Для Google Chrome є декілька розширень, які спеціально заточені для пошуку XSS-дир, SQL-вразливостей, а також інших проломів безпеки. Стануть в нагоді також і кілька інших аддонів, які хоча безпосередньо і не пов'язані з пентестом, але можуть допомогти автоматизувати деякі з дій (на зразок підстановки злобливих значень в різні місця введення даних).

Web Securify

Web Securify

Якщо назва здасться тобі знайомим, не дивуйся. Можливо, колись ти використовував утиліту Websecurify, що представляє собою потужне середовище для тестування безпеки веб-додатків. Пізніше розробники реалізували функціонал сканера у вигляді аддона для Chrome. Тому тепер одним кліком можна запустити аналіз сайту на наявність таких вразливостей, як SQL Injection, Cross-site Scripting, Cross-site Request Forgery, Local / Remote File Include і т.д. Все працює в автоматичному режимі.

XSS Rays

Чудовий інструмент для пентестера, що включає в себе XSS-сканер, XSS реверсер, а також інспектор об'єктів. Функція Scan допоможе швидко реалізувати ін'єкцію для всіх можливих місцях введення даних (аддон сам їх визначить і запропонує на вибір). Потрібно дізнатися, як конкретна сторінка відфільтровує висновок, але сорци немає? Немає проблем - просто вибери опцію Reverse - і незабаром ти побачиш, які з символів дозволені. Інспектор об'єктів дозволяє в реальному часі змінювати вміст функцій і швидко розібратися в логіці роботи веб-додатки.

Firebug lite for Chrome

Firebug lite for Chrome

Немає кращого інструменту для вивчення особливостей роботи веб-додатки, ніж Firebug lite. На жаль, він сильно відстає від свого старшого брата, функціонал сильно урізаний через обмеження архітектури розширень Google Chrome. Так, наприклад, Firebug lite не має вбудованого JavaScript-відладчика, тому ти не зможеш повною мірою поколупатися з JS-скриптами. Але аддон все одно надає чимало корисних можливостей і, наприклад, дозволяє в реальному часі змінювати і виконання HTML-коду, CSS на абсолютно будь-якій сторінці. Зазначу також опцію Inspect: коли ти клацаєш на потрібний тобі елемент сайту, Firebug lite миттєво знаходить в сорци код, який цей елемент реалізує.

Anti XSS

Це розширення пасивно аналізує код переглядаються в браузері сторінок і в разі виявлення слабких місць, що можуть призвести XSS-ін'єкцією, попереджає про це, показуючи відповідний значок в адресному рядку. Справедливості заради, варто згадати, що аддон вже досить тривалий період не оновлюється.

iMacros for Chrome

Якщо тобі необхідно автоматизувати якусь перевірку або фаззінга, то найвірніший спосіб - створити макрос за допомогою цього розширення. Один раз записавши сценарій і показавши браузеру послідовність дій, його можна відтворювати скільки завгодно раз на будь-якій сторінці. Причому якщо ти вже створював макроси в аналогічному аддоні, але для Firefox, то їх не доведеться створювати заново - все запрацює і в Chrome.

Анонімність і безпеку

Якщо говорити про пентесте, не можна не згадати аспекти своєї власної безпеки і анонімності. Беремо основне: з'єднання через проксі (що може знадобитися і просто для роботи з сервісами, які накладають обмеження по регіону користувача), роботу з захищеними версіями сайту, відключення злісних скриптів, ретельне видалення історій відвідувань.

NotScripts

NotScripts

Цей сценарій, який є аналогом розширення NoScript для Firefox, робить одну просту річ - повністю відключає виконання скриптів на сайті. Це єдиний гарантований спосіб серфити заражені сайти, звідки пачками вантажаться трояни, а також захистити себе від XSS і Clickjacking атак :).

IP-адреса

Щоб відразу переконатися, що проксі працює, є цей аддон. What is my ip adresse покаже поточний IP-адреса, а також видасть по ньому повну інформацію про провайдера, а також геолокаційні інформацію, включаючи країну і зразкове місце розташування.

KB SSL Enforcer

KB SSL Enforcer

Не треба ще раз пояснювати, наскільки важливо використовувати захищені версії сайтів. Багато популярні ресурси зараз підтримують роботу через SSL, але не завжди пропонують їх використовувати за замовчуванням. KB SSL Enforcer подбає, щоб ти працював саме з SSL-версією ресурсу, якщо вона існує.

Proxy Switchy!

Про призначення цього розширення зрозуміло з назви. Воно дозволяє визначити в налаштуваннях проксі-сервери і швидко між ними перемикатися. Приємно, що в аддоні реалізована система правил: для позначених URL аддон автоматично може перемикатися на потрібний проксі-сервер. Наприклад, для того щоб користуватися онлайн-радіо Pandora, яке доступне тільки для користувачів з Америки, ми можемо встановити відповідний проксі зі Штатів.

Tampermonkey

Tampermonkey

Ти напевно знаєш про такий інструмент, як Greasemonkey, що дозволяє змінювати популярні сторінки на льоту за допомогою спеціальних JS-скриптів, які ін'ектіруется в поточну сторінку. Tampermonkey - це на 90% сумісний аналог для Chrome, який підтримує більшість сценаріїв, написаних для Greasemonkey. Модифікувати сторінку, прибравши або додавши якісь елементи, - задачка для цього розширення. Велика база вже готових скриптів доступна на сайті userscripts.org .

Click & Clean

Для того щоб стерти сліди перебування на якомусь ресурсі, недостатньо тільки очистити куки браузера. Є ще чимало місць, де легко можуть залишитися позначки про твою діяльності: це Flash-cookies, які створюються на комп'ютері як LSO-об'єкти (Local Shared Objects), і куки Silverlight, і кеш Java. Click & Clean подбає про те, щоб повністю видалити історію переглядів і завантажень, очистити кеш і почистити кукіси. Врахуй, аддон працює тільки під виндой.

NET або щось ще?
Потрібно дізнатися, як конкретна сторінка відфільтровує висновок, але сорци немає?