Convierte Chrome en una herramienta pentesting con estas extensiones

ChromeExt

Hoy en día, todos los navegadores web modernos cuentan con una gran variedad de extensiones. Estas pequeñas aplicaciones nos permiten dotar al navegador de una serie de funciones y características adicionales que no están presentes por defecto en el mismo y que, gracias a ellas, cada usuario puede personalizar por completo su navegador según sus usos y sus necesidades. Hoy en día existen extensiones de todo tipo de manera que podamos personalizar nuestro navegador web como queramos, incluso convirtiéndolo en una herramienta para pentesting como vamos a ver a continuación.

Como hemos dicho, actualmente existen cientos de extensiones de todo tipo para nuestro navegador, algunas pensadas en la seguridad, otras en hacer el uso de Internet lo más cómodo posible, otras que nos facilitan el acceso a ciertos servicios, etc. Por ello, a continuación, les voy a dejar una lista de extensiones que nos van a permitir ir más allá y convertir nuestro navegador en una completa suite para pentesting web.

Extensiones de Google Chrome para investigadores de seguridad y probadores de penetración:

Web Developer:

Es una extensión de Google Chrome que agrega una barra de herramientas con varias herramientas de desarrollo web en Chrome. Con estas herramientas, los usuarios pueden realizar varias tareas de desarrollo web. Esta extensión ayuda a analizar los elementos de la aplicación web como HTML y JS.
Añada la extensión de desarrollador web en Chrome aquí: https://chrome.google.com/webstore/detail/web-developer/bfbameneiokkgbdmiekhjnmfkcnldhhm

Firebug Lite para Google Chrome: 

Proporciona un entorno visual rico para analizar elementos HTML, elementos DOM y otros Modelos de Caja. También proporciona la edición CSS en vivo. Ayuda a analizar cómo una aplicación está trabajando en el lado del cliente. Añada Firebug Lite a Google Chrome: https://chrome.google.com/webstore/detail/firebug-lite-for-google-c/bmagokdooijbeehmkpknfglimnifench

D3coder: 

Es otra bonita extensión de Google Chrome que ayuda a los probadores de penetración. Nos permite codificar y decodificar el texto seleccionado a través del menú contextual. Por lo tanto, reduce el tiempo para codificar y decodificar cadenas utilizando herramientas separadas. Esta extensión puede realizar una amplia gama de funciones. Vea la siguiente lista:

Decodificación de marca de tiempo

Rot13 en- / decoding

Codificación base64

Descodificación base64

CRC32 hashing

MD5 hashing

SHA1 hash

Bin2hex

Bin2txt

Codificación de entidades HTML

Decodificación de entidades HTML

Codificación de caracteres HTML especiales

Decodificación de caracteres HTML especiales

Codificación URI

Descodificación URI

Descodificación imprimible citada

Codificación imprimible citada

Escapeshellarg

Descodificación de Base64

Base64 codificar

Anular la serialización

L33T-es / descodificar

Marcha atrás

Agrega la extensión d3coder a Google Chrome: https://chrome.google.com/webstore/detail/d3coder/gncnbkghencmkfgeepfaonmegemakcol?hl=es

Site Spider: 

Es una extensión que agrega un rastreador en Chrome. Rastrea todas las páginas e informa de todos los enlaces rotos. También se puede restringir la araña mediante la adición de restricciones y expresiones regulares, que funciona en el lado del cliente. También puede utilizar su autenticación para acceder a todas las páginas. Esta extensión es opensource. Por lo tanto, puede modificarlo fácilmente de acuerdo a sus necesidades.
Agregue Google Spider a Google Chrome: https://chrome.google.com/webstore/detail/site-spider/ddlodfbcplakmddhdlffebcggbbighda

Form Fuzzer:

Se utiliza para rellenar caracteres predefinidos en diferentes campos de formulario. También puede seleccionar casillas de verificación, botones de radio y seleccionar elementos en formularios. Cuenta con un menú de configuración donde se pueden gestionar todas las configuraciones de la extensión. Es muy útil para probar formularios. Puede establecer cargas útiles para los formularios y luego rellenar las cargas útiles rápidamente con esta bonita herramienta. Muy útil en la realización de ataques de inyección XSS y SQL.
Agregue el formulario Fuzzer a Google Chrome: https://chrome.google.com/webstore/detail/form-fuzzer/cbpplldpcdcfejdaldmnfhlodoadjhii

Session Manager:

Es una poderosa extensión de Chrome que permite a los usuarios guardar, actualizar, restaurar y eliminar conjuntos de pestañas. Puede crear un grupo de pestañas del mismo interés y restaurarlas con un solo clic. Si abre pocas páginas específicas diariamente, cree grupos de esas páginas y abra con un solo clic.
Agrega el Administrador de sesiones a Google Chrome: https://chrome.google.com/webstore/detail/session-manager/mghenlmbmjcpehccoangkdpagbcbkdpc

Request Maker:

 Es una herramienta de prueba de penetración de núcleo. Se utiliza para crear y capturar peticiones, manipular la URL y crear nuevos encabezados con datos posteriores. Puede capturar las solicitudes realizadas a través de formularios o XMLHttpRequests. Usted puede ver la función de esta herramienta es similar a Burp. También es útil en la realización de varios tipos de ataques en una aplicación web mediante la modificación de las solicitudes http.
Agregue el creador de solicitudes a Google Chrome: https://chrome.google.com/webstore/detail/request-maker/kajfghlhfkcocafkcjlajldicbikpgnp

Proxy SwitchySharp:

Es una extensión proxy que ayuda a administrar y cambiar entre varios proxies rápidamente. También tiene una opción para establecer la conmutación de proxy automático basado en URL. También puede importar o exportar datos fácilmente. Con el conmutador proxy, podemos ocultar direcciones IP y realizar tareas de prueba de penetración para comprobar cómo una persona puede atacar con servidores proxy.
Añade Proxy SwitchySharp a Google Chrome: https://chrome.google.com/webstore/detail/proxy-switchysharp/dpplabbmogkhghncfbfdeeokoefdjegm/details

Cookie Editor:

Es una agradable extensión de Chrome que permite a los usuarios editar las cookies. Esta herramienta es realmente útil mientras se secuestran sesiones de prueba vulnerables. Permite a los usuarios borrar, editar, agregar o buscar cookies. También permite a los usuarios proteger, bloquear o exportar cookies en json. Puedes jugar con las cookies como quieras. Esta extensión es compatible con anuncios y todos los ingresos van a Unicef ​​para ayudar a los niños en todo el mundo. Pero los anuncios no son necesarios y se puede desactivar en cualquier momento desde la página de configuración de la extensión.
Añade Editar esta cookie a Google Chrome: https://chrome.google.com/webstore/detail/edit-this-cookie/fngmhnnpilhplaeedifhccceomclgfbg

Cache Killer: 

Es otra buena extensión que limpia automáticamente el caché del navegador antes de cargar las páginas. Se puede activar o desactivar fácilmente con un solo clic del ratón. Es útil para pasar por alto la caché del navegador y ver el sitio web en caso de que está cambiando. Esto es muy útil para los desarrolladores web.
Agrega Cache Killer Extension a Google Chrome: https://chrome.google.com/webstore/detail/cache-killer/jpfbieopdmepaolggioebjmedmclkbap

XSS Rays:

Es una extensión agradable que ayuda a encontrar la vulnerabilidad XSS en un sitio web. Encuentra cómo un sitio web filtra el código. También comprueba si hay inyecciones e inspecciona objetos. También puede extraer, ver y editar fácilmente los formularios de forma no destructiva, incluso si los formularios no pueden editarse. Así que muchos probadores de penetración usan esta extensión como una herramienta de prueba XSS dedicada. Es un escáner XSS puro de JavaScript. Puede leer más acerca de los rayos XSS aquí .
Agrega rayos XSS a Google Chrome: https://chrome.google.com/webstore/detail/xss-rays/kkopfbcgaebdaklghbnfmjeeonmabidj

WebSecurify: 

Es una potente herramienta de prueba de seguridad en la web de plataforma cruzada. Está disponible para varios escritorios, plataformas móviles y navegadores. Esta es la primera herramienta de seguridad web que se ejecuta directamente desde el navegador. Es capaz de encontrar XSS, XSRF, CSRF, Inyección de SQL, carga de archivos, redirección de direcciones URL y varias otras vulnerabilidades de seguridad. Tiene un rastreador incorporado que escanea y rastrea las páginas. A continuación, tratará de encontrar vulnerabilidad en las páginas. No es una herramienta completamente automática. Enumera una posible vulnerabilidad en la URL. Deberá confirmar la vulnerabilidad manualmente. Ya hemos cubierto la herramienta websecurify en detalle. Puedes consultar publicaciones más antiguas para leer más sobre cómo funciona esta herramienta y cómo dominar websecurify para pruebas de penetración. Durante la exploración, extrae todas las funciones del servidor WebSecurify, por lo que no es necesario preocuparse por las actualizaciones de la base de datos. El motor de vulnerabilidad se actualizará en todo momento. Las herramientas de prueba de penetración están a sólo un clic de distancia. Utilice esto como una herramienta de navegador o herramienta de escritorio. 
Agrega Websecurify a Google Chrome: https://chrome.google.com/webstore/detail/websecurify/gbecpbaknodhccppnfndfmjifmonefdm

Port Scanner:

La extensión de Google Chrome agrega capacidades de exploración de puertos al navegador. Con esta extensión, podrá escanear qué puertos TCP están escuchando. Port Scanner analiza cualquier dirección IP o dirección URL y luego buscará los puertos abiertos para ayudarlo a protegerlos. También está disponible para Opera y Mozilla Firefox.
Agregar escáner de puertos a Google Chrome: https://chrome.google.com/webstore/detail/port-scanner/jicgaglejpnmiodpgjidiofpjmfmlgjo

XSS chef:

Es la popular extensión de Chrome que funciona directamente en el navegador. Nos ayuda a identificar la vulnerabilidad XSS en una aplicación web. Es similar a BeEF, pero para los navegadores. Realiza las siguientes tareas:

Monitoree las pestañas abiertas de las víctimas

Ejecutar JS en cada ficha (XSS global)

Extraer HTML, leer / escribir cookies (también httpOnly), almacenamiento local

Obtener y manipular el historial del navegador

Manténgase persistente hasta que se cierre el navegador completo (o incluso más si puede persistir en el almacenamiento local de las extensiones)

Hacer una captura de pantalla de la ventana de víctimas

Explorar más, por ejemplo, mediante la conexión de ganchos BeEF, keyloggers, etc

Explorar el sistema de archivos a través del protocolo file: //

Evite que el entorno de seguridad de las extensiones de Chrome contenga el entorno de seguridad para interactuar directamente con la página JS

Esto no es una extensión sino un marco. Por lo tanto, la instalación no es la misma que cualquier otra extensión. Lee el enlace oficial de XSS Chef que se muestra a continuación y aprende a instalarlo en Chrome.
Añadir XSS chef a Google Chrome: https://github.com/koto/xsschef

HPP Finder: 

Es otra buena extensión. Es útil para encontrar la vulnerabilidad HTTP Parameter Pollution (HPP) y explotarla. Esta herramienta puede detectar y explotar fácilmente los Formularios HTML o las URL que podrían ser susceptibles de ataques de Parámetros HTTP de Contaminación. Esta herramienta sólo puede encontrar los puntos de vulnerabilidad pero no es una solución contra la vulnerabilidad. Añada HPP Finder en Google Chrome: https://chrome.google.com/webstore/detail/hpp-finder/nogojgcobcolombicplhimbbakkcmhio

La base de datos Exploit: 

No es una herramienta de prueba de penetración, sino que te mantiene actualizado con todas las últimas hazañas, código de shell y documentos técnicos disponibles en el servidor Exploit DB. Es una herramienta de código abierto y el código fuente se puede encontrar aquí: http://github.com/10n1z3d/EDBE Agregar la extensión Exploit base de datosen cromo: https://chrome.google.com/webstore/detail/the-exploit- Base de datos / lkgjhdamnlnhppkolhfiocgnpciaiane

GHDB:

Es una bonita búsqueda de consultas de Google. Esta bonita extensión le ayudará a buscar las necesarias consultas de hack de Google para encontrar páginas específicas basadas en parámetros especiales de búsqueda de Google. Le permite entender la base de la seguridad web de una manera mejor.
Agrega GHDB en Google Chrome: https://chrome.google.com/webstore/detail/ghdb/jopoimgcafajndmonondpmlknbahbgdb

IMacros para Chrome: 

Mientras se realizan varios procesos de prueba de páginas web, es posible que tenga que automatizar algunas tareas repetitivas en la web. Para ello, puede utilizar iMacros para las extensiones de Chrome. Por lo tanto, la próxima vez que necesite este tipo de cosas, utilice la macro y luego inicie con un botón de clic. Instale iMacros para Chrome en Chrome: https://chrome.google.com/webstore/detail/imacros-for-chrome / Cplklnmnlbnpmjogncfgfijoopmnlemp

IP y la información de dominio: 

Es una extensión de recopilación de información que puede ayudarle en la búsqueda de la geolocalización, DNS, whois, enrutamiento, resultados de búsqueda, hosting, vecinos de dominio, DNSBL, BGP y ASN información de cada dirección IP (IPv4 e IPv6). A Chrome: https://chrome.google.com/webstore/detail/ip-address-and-domain-inf/lhgkegeccnckoiliokondpaaalbhafoa

Cómo instalar la extensión de Chrome en el navegador

La instalación de la extensión es un proceso de clic si está disponible en la tienda oficial de Chrome. Pero puede ser confuso si sólo tiene código de extensión.

Instalar desde la tienda oficial de Chrome: Para instalar la extensión de la tienda oficial de cromo, simplemente haga clic en el enlace que aparece debajo de cada extensión y abra la página de Chrome Store de la extensión. Verás un botón azul que dice “Agregar a Chrome”.

Figura: Botón de instalación de la extensión de Chrome

Después de hacer clic en este botón, la instalación comenzará y no necesitará hacer nada más. Se descargará un archivo y luego se agregará a tu Chrome. De forma predeterminada, activará la extensión.

Instalar la extensión manualmente con el archivo de origen: pocas extensiones no están disponibles en la tienda oficial de cromo porque no cumplen los términos y condiciones de la tienda. Por lo tanto, estos están disponibles extraoficialmente en su sitio web. Si desea instalar esas extensiones, descarguelas desde el sitio web oficial. Abre ahora la página de extensión de Chrome y arrastra el archivo de origen y suéltalo en la página de extensión. La extensión se instalará automáticamente después de caer en la página de extensiones.

Si desea desactivar una extensión de Chrome, vaya a la configuración y, a continuación, a la página Extensiones. Aquí verá las extensiones instaladas. En frente de cada extensión, verá una casilla de verificación. Para deshabilitar la extensión, sólo tiene que des-seleccionar el cuadro de selección. Para quitar la extensión de forma permanente, haga clic en el icono de la papelera cerca de la casilla de verificación.

Figura: Activación / desactivación de la extensión de Chrome

Conclusión

Después de leer esta publicación, llegarás a saber que Chrome es más que un navegador. Con estas agradables extensiones, se convertirá en el amigo de los probadores de penetración y los investigadores de seguridad. Instale estas extensiones en sus navegadores e inicie su proceso de prueba de penetración. Estas herramientas incluyen una amplia gama de recopilación de información para realizar ataques. Pocas herramientas se pueden utilizar para recopilar información e inspeccionar la información de cabecera de una solicitud. XSS Rays, XSS Chef, HPP Finder y WebSecurify son las herramientas más útiles que se utilizan ampliamente como herramientas de seguridad.

Fuentes: Infosec Institute / Redes Zone

 

Anuncios


Categorías:Manuales y tutoriales, Seguridad Informática y de la Información

Etiquetas:, ,

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: