Hola, esta noticia es algo vieja pero le voy a poner un post porque me pareció interesante, también me voy a tomar la ligera molestia de traducir toda la descripción de las herramientas para su mayor entendimiento.
La fuente original del texto esta en ingles, lo pueden ver en las siguientes paginas:
http://www.security-database.com/
Artículos:
http://www.security-database.com/toolswatch/Turning-Firefox-to-an-Ethical.html
http://www.security-database.com/toolswatch/Turning-Firefox-to-an-auditing.html
http://www.security-database.com/toolswatch/Security-Database-releases-FireCAT.html
Este articulo "Turning Firefox to an Ethical Hacking Platform" es una actualización del articulo "Turning Firefox to an auditing platform" y el articulo "Security-Database releases FireCAT (Firefox Catalog of Auditing Toolbox)" es un gráfico con las mas útiles herramientas de seguridad orientadas a extensiones o complementos para el Firefox.
El texto siguiente solo es una TRADUCCIÓN del articulo ya comentado.
"Cambie Firefox a una plataforma de Hacking Ético"
Internet es un asombro mundo virtual donde tu puedes "virtualmente" hacer lo que quieras:
Apostas, jugar, ver películas, comprar, trabajar, "VoIPying" (Hablando por Internet), espiando otras personas y seguro revisando sistemas remotos.
La comunidad de "testers" o probadores de seguridad tienen un lista grande de herramientas de seguridad, metodologías y mucho mas para realizar su "pentest" (Penetration Testing) y evaluaciones de auditoria. Pero que pasa si tu estas sin armas.
No mas Top 100 de herramientas de seguridad, no mas LiveCDs y no mas explotación de marcos (frameworks). Un auditor de seguridad sin caja de herramientas es como un policía sin arma.
Ademas, hay quizás una manera de rescatarte de esta situación de pesadilla.
La solución mágica podría ser Firefox y sus extensiones (complementos) desarrollados por hacker éticos y coders.
aquí una útil lista actualizada de extensiones de auditoria de seguridad:
- Information gathering
Whois and geo-location
ShowIP : Muestra la dirección IP de la pagina actual en la barra de estado, también permite preguntar a servicios de IP (botón derecho del mouse) y hostname (botón izquierdo del mouse), como whois, netcraft.
Shazou : El producto llamado Shazou (pronunciado Shazoo que esto es el japones para trazar mapas) permite al usuario con un click trazar un mapa y tener geo-localización en cualquier pagina que ellos estén viendo actualmente.
HostIP.info Geolocation : Muestra la información "Geolocation" de una pagina usando datos hostip.info. trabaja con todas las versiones del Firefox.
Active Whois : Usando "Active Whois" es para obtener detalles sobre cualquier dueño de una pagina y servidor host.
Bibirmer Toolbar : Una extensión todo-en-uno. Pero los usuarios (auditors) tienen que jugar con la caja de herramientas. Esto incluye (Whois, Informe DNS, Geolocation, Traceroute, Ping). Muy útil para juntar información por faces.
Enumeration / fingerprinting
* Header Spy : Muestra HTTP headers en la barra de estado.
* Header Monitor : Esta es una extencion del firefox para mostras en la barra de estado cualquier respuesta HTTP de un documento de nivel superior que alla sido devuelto por un servidor web. Ejemplo: Servidor (por defecto), Codificacion de contenido (Content-Encoding), Tipo de contenido (Content-Type), X-Powered-By y otros.
Social engineering
* People Search and Public Record : Esta extensión del Firefox es una herramienta practica de menú para investigadores, reporteros, profesionales legales, agentes inmobiliarios, investigadores en linea y alguien interesado en hacer sus propias búsquedas básicas de personas y hacer consultas de registro publicas así como también investigación a fondo.
Googling and spidering
* Advanced dork : Da un rápido acceso a los operadores avanzados de Google directamente del menu de contexto. Esto podría ser usado para hacer "spider" a una pagina o escanear archivos ocultos (esta técnica de "spider" es usada vía scroogle.org)
* SpiderZilla : Spiderzilla es una utilidad Website mirror facil-de-usar, basada en Httrack de www.httracl.com
* View Dependencies : View Dependencies (ver dependencias) agrega una etiqueta a la ventana "page info" (información de pagina), en la cual muestra todos los archivos que fueron cargados para mostrar la pagina actual. (útil para una técnica de "spidering")
- Security Assessment / Code auditing
Editors
* JSView : El menú "ver código fuente de la pagina" ahora abre archivos basados en el comportamiento que tu elijas en las opciones jsview. Esto te permite abrir el codigo fuente de cualquier pagina web en una nueva pestaña o en un editor externo.
* Cert Viewer Plus : Agrega dos opciones al espectador certificado en Firefox o Thunderbir: un certificado X.509 puede ser mostrado en formato PEM (Base64/RFC 1421, abre una nueva ventana) o salvado en un archivo (en formato PEM o DER - y proporciona PKCS#7 con el respectivo patch que ha sido aplicado - cf.
* Firebug : Firebug se integra al Firefox para poner una riqueza de herramientas de desarrollo al alcance de la mano mientras usted navega. Usted puede editar, eliminar fallos (bug), y supervisar CSS, HTML, y JavaScript en vivo en cualquier pagina web.
* XML Developer Toolbar : Permite a los desarroladores de XML usar las herramientas estándar todo desde su navegador.
Headers manipulation
* Header Monitor : Esta es una extencion del firefox para mostras en la barra de estado cualquier respuesta HTTP de un documento de nivel superior que alla sido devuelto por un servidor web. Ejemplo: Servidor (por defecto), Codificacion de contenido (Content-Encoding), Tipo de contenido (Content-Type), X-Powered-By y otros.
* RefControl : Controla que es enviado como HTTP Referer en una base por sitio.
* User Agent Switcher : Agrega un menú y un botón de herramienta para cambiar el usert agent del navegador.
Cookies manipulation
* Add N Edit Cookies : Editor de Cookie que te permite agregar y editar una "sesión" y salvar las cookies.
* CookieSwap : CookieSwap es una extencion que te permite mantener numerosos juegos o "perfiles" de cookies que uste puede cambiar rapidamente entre ellas mientras navega.
* httpOnly : Agrega el apoyo httpOnly cookie para Firefox encryctando coockies marcadas como httpOnly en el lado del navegador.
* Allcookies : Vierte TODAS las cookies (incluyendo cookies de sesión) al estándar Firefox al archivo cookies.txt.
Security auditing
* HackBar : Esta barra de herramientas te ayudara en probar SQL Injection, agujeros XSS y seguridad en la pagina. Esto NO es una herramienta para ejecutar exploit estándar y esto NO te enseñara a hackear una pagina. Su propósito principal es ayudar a desarrolladores hacer una audición de seguridad en su código.
* Tamper Data : Use Tamper Data para ver y modificar parámetros HTTP/HTTPS headers y post.
* Chickenfoot : Chickenfoot es una extensión de Firefox que pone un ambiente de programación en el navegador sidebar entonces usted puede escribir un script para manipular la pagina de Internet y automatizar la navegación. En Chickenfoot,los scripts son escritos en un superset de JavaScript que incluye funciones especiales especificas para una tarea en la web.
- Proxy/web utilities
* FoxyProxy : FoxyProxy es una avanzada herramienta proxy que completamente sustituye la configuración proxy de Firefox. Este ofrece mas opciones que SwitchProxy, ProxyButton, QuickProxy, xyzproxy, ProxyTex, etc...
* SwitchProxy : SwitchProxy le permite mantener y cambiar entre múltiples configuraciones de proxys rápidamente y fácilmente. Usted puede también usarlo como anonymizer para proteger su computadora de ojos curiosos.
* POW (Plain Old WebServer) : El Plain Old Webserver usa Server-side JavaScript (SJS) para correr un servidor dentro de tu navegador. Uselo para distribuir archivos de su navegador. Esto Soporta Server-side JS, GET, POST, uploads, Cookies, SQLite y AJAX, Esto tiene opciones de seguridad protección-password para su pagina. Usuarios tienen creado una Wiki, chat room y el motor de búsqueda usando SJS.
- Misc
Hacks for fun
* Greasemonkey : Te permite customizar como se mostrara la pagina web usando pequeños trozos de JavaScript. (los scripts pueden ser descargados de aqui)
Encryption
* Fire Encrypter : FireEncrypter es una extensión de Firefox que te da encryption/decryption y funcionalidades hashing justo en su navegador Firefox, útil sobre todo para revelar o para educación y diversión.
Malware scanner
* QArchive.org web files checker : Permitiendole a las personas revisar archivos web por cualquier malware (viruses, trojans, worms, adware, spyware y otros cosas no deseadas).
* Dr.Web anti-virus link checker : Este plugin te permite revisar cualquier archivo que vas a descargar, cualquier pagina que vas a visitar.
* ClamWin Antivirus Glue for Firefox : Esta extensión escanea cada archivo de descarga automáticamente con ClamWin.
Anti Spoof
* refspoof : Fácil fingir el origen de una pagina anulando la URL referrer (en una petición HTTP). - esto incorpora estas opciones usando el pseudo-protocol spoof://.. así es posible almacenar la información en un "hyperlink" - que puede ser usado en cualquier contexto.. como paginas html o bookmarks.
De este enlace pueden descargar este articulo en formato .pdf pero en ingles:
Turning Firefox to an Ethical Hacking Platform
Algo mas que agregar una tools mas, es recomendada para aquellos que tienen muchas herramientas en el Firefox.
Tiny Menu
Sirve para reemplazar la barra de menú estándar con un pequeño menú.
FireCAT - Firefox Catalog of Auditing Toolbox
Es un framework para firefox con una lista de extensiones que convierten a firefox en una herramienta de seguridad.
Un .pdf para ver más gráficamente las extensiones. Esta lista convierte a Firefox en una gran herramienta de seguridad.
Para bajar el documento .pdf:
FireCat (Version 0.95)
Bajarlo como imagen:
FireCat (Version 0.95)
Mas información en:
Security-Database releases FireCAT (Firefox Catalog of Auditing Toolbox)
Actualización del FireCat:
FireCAT (Firefox Catalog of Auditing Toolbox) updated to version 0.95 (20 de Marzo 2007)
Creditos: www.security-database.com
Jhyx
