网络安全中常用浏览器插件、拓展
引言
现在的火狐、Edge( Chromium内核)、Chrome等浏览器带有插件、拓展(Plugin)的功能。这些插件中有的可以过滤广告,有的提供便捷的翻译,有的提供JavaScript脚本支持,方便用户的使用也大大的增强了浏览器的能力,在网络安全相关的也有许多的可用插件,今天我来分享一下,目前我所使用的几款插件。
图1.在Edge中的插件
如今浏览器可以依据内核可以分为两大类,对应不同的内核,浏览器内核插件的文件也是不同的,比如不能在Chrome中安装xpi插件,在下载的时候要注意依据自己浏览器来选择。
| 浏览器内核 | 搭载的浏览器 | 插件文件后缀 |
| Gecko | 火狐 | .xpi |
| Chromium | Edge新版、Chrome | .crx |
插件的下载可以去插件的市场上、Github等之类的网站下载,开启开发者模式可以安装下载的插件。当然这个不是本文的重点。
在网络安全中,大部分服务器对外提供的WEB服务器,所以配合这些插件可以方便我们学习有关的WEB渗透的知识。
代理类插件
代理将某些流量使用代理来转发,实现跳板从而隐藏自己的IP,比如一些上网的办法,方便去外网上查一些资料、下载资源等。
图2.跳板访问
当然国内的许多站点提供整理了许多可用的免费代理,具体的ip和端口可以去问度娘,使用代理访问网页实现匿名范围,隐藏自己的IP信息,但是实际上你的IP连接信息还是会保存在代理站点内的,所以请用于正轨。
图3.某网站提供的代理信息
同时可以在本地开启代理配合某些抓包软件(比如Fiddler Web Debugger),可以对HTTP报文进行一些抓取分析、编辑重放处理。
Proxy SwitchyOmega
图4.Proxy SwitchyOmega
轻松快捷地管理和切换多个代理设置。也可以很方便的存储代理信息。
- 代理的4个要素:IP、端口、协议、认证账户密码
图5.Proxy SwitchyOmega的代理配置
配置好后可以在插件图标中快速的切换。
图6.Proxy SwitchyOmega的代理快速切换
信息收集类
信息收集在WEB网络安全也是至关重要的一步,可用更多描绘站点的信息,虽然我们可以通过抓包看报文请求、看源代码等方式来收集信息,但是使用一些工具来方便我们判断,减少工作量(保护头发)。
Shodan
图7.Shodan
信息收集必备的,插件其实功能不多,显示IP、反解析域名、国家城市、开放的端口等。不过可以快速的跳转到Shodan的网页,查询更多信息。
图8.Shodan在bilibili站点收集的信息
FOFA Pro View
图9.FOFA Pro View
和前面的shodan一样,fofa也是强大的信息收集的平台。
图10.FOFA在bilibili下收集的信息
相关信息收集网站还有:
- 网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统
- Shodan Search Engine
- 360网络空间测绘 — 因为看见,所以安全
- ZoomEye - Cyberspace Search Engine
FindSomething
图11.FindSomething
在网页的源代码或js中找到一些有趣的东西,可以很方便分析源代码将URL、变量等等整理好展现出来。有一些坑爹的web项目,username和password直接保存在源代码中,使用此插件直接破防。
图12.FindSomething查看bilibili主页的效果
Wappalyzer - Technology profiler
图13.Wappalyzer - Technology profiler
识别当前站点使用web技术,比如后端语言、服务器中间件、前端框架之类的。耳熟能详的wappalyzer哈哈,比如已知某框架有具有某漏洞,恰好本站使用了可以方便我们“对症下药”来测试。
图14.Wappalyzer下查看bilibili站点使用技术
相似的网站
图15.相似的网站 - 发现相关的网站
立即发现当前正在浏览的网站类似的网站。同类型网站如果说已知当前网站有某漏洞。
图16.相似的网站查一下bilibili
Bulk URL Opener
图17.Bulk URL Opener
可以一次性可打开多个URL,一般情况配合FindSomething使用,批量打开页面haft的url,如果某些站点有比较敏感比如admin后台直接就是在源代码中,那么就可以不攻自破。
图18.Bulk URL Opener来批量打来bilibili的url
信息篡改类
重头戏开始啦,篡改本机信息或者发送虚假报文,以实现某种目的。
ModHeader
图19.ModHeader
Modify HTTP request and response headers,修改HTTP请求和响应标头。众所周知httphead中有不少有意义的参数,比如
- User-Agent:定义设备浏览器信息
- X-Forwarded-For:负载均衡服务器IP,某些代码如果使用http报头的ip那么就是错误的ip,某些日志系统也是会记录错误的ip。
我们可以通过此来篡改ip、设备,实现伪装。
图20.ModHeader的设置
图21.ModHeader的设置后某网站就被骗了
Cookie Editor
图22.Cookie Editor
可以快速创建、编辑和删除cookie。这类的软件很多,火狐浏览器可以用Cookie Quick Manager,我在Edge上找不到姑且使用此吧。
cookie是很重要的,当完成登录后一些网站会设置cookie,里面有token等信息,当我们通过某些方法获取得其他人cookie后,我们可以将我们的cookie修改为与其他人一直,实现会话的拦截,嘻嘻。
图23.Cookie Editor编辑一下吧
HTTP Header Live
图24.HTTP Header Live
抓包显示HTTP头字段,并且可以编辑并重发。不明觉厉,可以实现一些高端的操作,咳咳哈哈。
图25.HTTP Header Live抓包和重发
不过我用得比较少,因为这个抓包展现内容太多了,找包眼睛都花了。
辅助类
辅助类的插件可能不能不能直接发起修改和攻击,但是可以有效的降低工作量保护头发。
HackBar
图26.HackBar
用于测试Web安全性的小型工具,这个HackBar就是是神器,类似于地址栏,可以进行一些转义、常用的注入代码等。当找到注入点后,搭配此插件使用。新版本需要付费,可以用旧版本v2,界面在F12中。
图27.HackBar示意图
FeHelper(前端助手)
图28.FeHelper
我在之前学习web时经常用到的工具,里面集成了许多功能。JSON自动格式化、手动格式化,支持排序、解码、下载等,更多功能可在配置页按需安装。
看没有格式化的json简直是折磨哈哈。
图29.FeHelper提供的功能
最后
分享就到此啦,其实不是网络安全相关,但是还是有一些蛮不错的,分享一下吧。
相关文章:
网络安全中常用浏览器插件、拓展
引言 现在的火狐、Edge( Chromium内核)、Chrome等浏览器带有插件、拓展(Plugin)的功能。这些插件中有的可以过滤广告,有的提供便捷的翻译,有的提供JavaScript脚本支持,方便用户的使用也大大的增…...
Vue 使用 Cropper.js 实现图片裁剪功能
前言 图片裁剪功能无论是用户头像的裁剪,还是图片内容的精确调整,都成为了提升用户体验的关键一环。Vue.js 结合 Cropper.js 这一功能丰富的图片裁剪库,可以轻松实现高效、直观的图片裁剪功能。本文将详细介绍如何在 Vue.js 项目中集成并使用…...
Python 3 和 JSON 数据格式
Python 3 和 JSON 数据格式 Python 3 是一种广泛使用的编程语言,以其简洁明了的语法和强大的功能而闻名。JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。Python 3 提供了内置的 json 模块,使得在 Python 程序…...
Halo 正式开源: 使用可穿戴设备进行开源健康追踪
在飞速发展的可穿戴技术领域,我们正处于一个十字路口——市场上充斥着各式时尚、功能丰富的设备,声称能够彻底改变我们对健康和健身的方式。 然而,在这些光鲜的外观和营销宣传背后,隐藏着一个令人担忧的现实:大多数这些…...
第一个autogen与docker项目
前提条件:在windows上安装docker 代码如下: import os import autogen from autogen import AssistantAgent, UserProxyAgentllm_config {"config_list": [{"model": "GLM-4-Plus","api_key": "your api…...
React第四节 组件的三大属性之state
前言 状态 state适用于类式组件中,而再函数式组件中需要使用 useState HOOK 模拟状态; React的组件就是一个状态机,通过与用户的交互,实现不同的状态,根据不同的状态展现出不一样的UI视图 并不是组件中所有的属性 都是组件的状态…...
在 CentOS 系统上直接安装 MongoDB 4.0.25
文章目录 步骤 1:配置 MongoDB 官方源步骤 2:安装 MongoDB步骤 3:启动 MongoDB 服务步骤 4:验证安装步骤 5:可选配置注意事项 以下是在 CentOS 系统上直接安装 MongoDB 4.0.25 的详细步骤: 步骤 1&#x…...
:序列型动态规划)
C++知识点总结(58):序列型动态规划
动态规划Ⅰ 一、基础1. 意义2. 序列 dp 解法 二、例题1. 最大子段和2. 删数最大子段和(数据强度:pro max)3. 最长上升子序列(数据强度:pro max)4. 3 或 5 的倍数序列5. 数码约数序列 一、基础 1. 意义 动…...
)
【系统架构设计师】真题论文: 论网络安全体系设计(包括解题思路和素材)
更多内容请见: 备考系统架构设计师-专栏介绍和目录 文章目录 真题题目(2014年 试题4)解题思路论文素材参考网络安全体系设计目标与原则网络安全体系的主要组成部分网络安全体系设计流程真题题目(2014年 试题4) 随着社会信息化的普及,计算机网络已经在各行各业得到了广泛…...
)
TypeScript学习笔记(三)
类型详细介绍 七、常用类型与语法 1.any any 的含义是:任意类型,一旦将变量类型限制为 any , 那就意味着放弃了对该变量的类型检查。 // 明确的表示a的类型是 any —— 【显式的any】 let a: any // 以下对a的赋值,均⽆警告 a 100 a 你…...
logstash 解析数组格式json数据:split, json
1,需求说明 原始数据格式: 1条 (2*2)》4个指标数据 [{"app":"aa","url":"www.1.com","metrics":[{"name":"cpu","value":11},{"name&quo…...
修改一下达梦disql 提示符
经常用disql的有时某些信息希望提示一下,默认的只显示SQL> 为了方便使用,可以在 glogin.sql 中增加些内容。 vi $DM_HOME/bin/disql_conf/glogin.sql增加以下几行 set time on set lineshow offcol global_name new_value global_name SELECT ins…...
Vue通用组件设计原则
在 Vue.js 开发中,设计通用组件是一项重要的任务,可以提升代码的复用性和可维护性。以下是通用组件设计的主要原则和最佳实践: 1. 清晰的职责划分 通用组件应该具有单一的职责,专注于完成某一类特定功能,而不依赖具体…...
uniapp页面样式和布局和nvue教程详解
uniapp页面样式和布局和nvue教程 尺寸单位 uni-app 支持的通用 css 单位包括 px、rpx px 即屏幕像素。rpx 即响应式px,一种根据屏幕宽度自适应的动态单位。以750宽的屏幕为基准,750rpx恰好为屏幕宽度。屏幕变宽,rpx 实际显示效果会等比放大…...
 小白友好)
Ubuntu问题 -- 设置ubuntu的IP为静态IP (图形化界面设置) 小白友好
目的 为了将ubuntu服务器IP固定, 方便ssh连接人在服务器前使用图形化界面设置 设置 找到自己的网卡名称, 我的是 eno1, 并进入设置界面 查看当前的IP, 网关, 掩码和DNS (注意对应eno1) nmcli dev show掩码可以通过以下命令查看完整的 (注意对应eno1) , 我这里是255.255.255.…...
)
【Java】期末复习章节 未完待续(版)
文章目录 【01算法类】1.1 使用冒泡排序算法对数组a{9, 7, 4, 6, 3, 1,10},按由小到大的规律排序数组中的元素。1.2 从键盘输入一个4位整数n,判断n是否是回文数。(回文数是指,将其数字反转排列的数与其本身相同。例如:…...
C语言数据结构——详细讲解 双链表
从单链表到双链表:数据结构的演进与优化 前言一、单链表回顾二、单链表的局限性三、什么是双链表四、双链表的优势1.双向遍历2.不带头双链表的用途3.带头双链表的用途 五、双链表的操作双链表的插入操作(一)双链表的尾插操作(二&a…...
经验笔记:Git 中的远程仓库链接及上下游关系管理
Git 中的远程仓库链接及上下游关系管理 1. 远程仓库的链接信息 当你克隆一个远程仓库时,Git 会在本地仓库中记录远程仓库的信息。这些信息包括远程仓库的 URL、默认的远程名称(通常是 origin),以及远程仓库中的所有分支和标签。…...
Swift闭包的本质
1 闭包的本质其实是一个引用类型:存储在堆空间上,由堆分配空间,且生命周期由ARC(自动引用计数机制)管理 2 捕获值:闭包会捕获上下文使用到的变量(引用类型会保持引用关系)ÿ…...
【SKFramework框架核心模块】3-2、音频管理模块
推荐阅读 CSDN主页GitHub开源地址Unity3D插件分享QQ群:398291828小红书小破站 大家好,我是佛系工程师☆恬静的小魔龙☆,不定时更新Unity开发技巧,觉得有用记得一键三连哦。 一、前言 【Unity3D框架】SKFramework框架完全教程《全…...
常用Rust日志处理工具教程
在本文中,我想讨论Rust中的日志。通过一些背景信息,我将带您了解两个日志库:env_logger和log4rs。最后,我将分享我的建议和github的片段。 Rust log介绍 log包是Rust中日志API的事实标准,共有五个日志级别࿱…...
)
深入理解索引(二)
1.引言 在数据库和数据结构中,索引(Index)是一种用于提高数据检索速度的重要机制。本文将详细深入介绍索引。 2. 为什么要使用索引 大家在使用索引之前一定要搞清楚使用索引的目的,因为索引的不当使用可能不但起不到正向作用&a…...
Python 开发工具 -- PyCharm 简介
一、PyCharm 简介 PyCharm 是由 JetBrains 打造的一款 Python IDE。 PyCharm 具备一般 Python IDE 的功能,比如:调试、语法高亮、项目管理、代码跳转、智能提示、自动完成、单元测试、版本控制等。 另外,PyCharm 还提供了一些很好的功能用…...
C# 属性 学习理解记录
字段和属性 左边字段,右边属性 拓展,属性安全: 1、设置public private 和protected 等,只读,只写, 2、在get set 方法时,验证,异常时抛出错误...
使用chrome 访问虚拟机Apache2 的默认页面,出现了ERR_ADDRESS_UNREACHABLE这个鸟问题
本地环境 主机MacOs Sequoia 15.1虚拟机Parallels Desktop 20 for Mac Pro Edition 版本 20.0.1 (55659)虚拟机-操作系统Ubuntu 22.04 服务器版本 最小安装 开发环境 编辑器编译器调试工具数据库http服务web开发防火墙Vim9Gcc13Gdb14Mysql8Apache2Php8.3Iptables 第一坑 数…...
)
【大数据学习 | Spark-Core】Spark的分区器(HashPartitioner和RangePartitioner)
之前学过的kv类型上面的算子 groupby groupByKey reduceBykey sortBy sortByKey join[cogroup left inner right] shuffle的 mapValues keys values flatMapValues 普通算子,管道形式的算子 shuffle的过程是因为数据产生了打乱重分,分组、排序、join等…...
暨第四届物流系统与交通运输国际学术会议(LSTT 2024))
第六届国际科技创新学术交流大会(IAECST 2024)暨第四届物流系统与交通运输国际学术会议(LSTT 2024)
重要信息 会议官网:www.lstt.org 大会时间:2024年12月6-8日 大会地点:中国-广州 大会简介 第六届国际科技创新学术交流大会暨第四届物流系统与交通运输国际学术会议(LSTT 2024)将于2024年12月6-8日在广州举办&…...
)
看Threejs好玩示例,学习创新与技术(ogl)
本文标题可能看的你莫名奇妙,什么是ogl?ogl是一个新的三维引擎库,可以简单任务是非常简化的ThreeJS。下面图是它的一个示例,可见虽然它是一个麻雀,但五脏还是比较全的。 1、先说OGL OGL的代码非常简单,主要…...
读书笔记_《创华为.任正非传》_精华书摘
人生经历 43岁,开始创建华为 爷爷:金华火腿乡间厨师 父亲: 1910年生,北平民大经济系读书->职业学校任教->国民党兵工厂会计,组织读书会(读书会后来有很多人在新中国成立后成为高级干部。) 母亲: 高中毕业,乡村教师…...
)
4.4 MySQL 触发器(Trigger)
触发器是一种特殊的数据库对象,在特定事件(如INSERT、UPDATE或DELETE)触发时自动执行定义好的操作。它可以帮助我们实现更高效的数据管理和业务规则的约束。 1. 简介 1.1 什么是触发器 触发器(Trigger)是由用户定义的…...
)
遗传算法(Genetic Algorithm, GA)
简介 遗传算法(Genetic Algorithm, GA)是一种基于自然选择和遗传机制的优化算法,由 John Holland 于20世纪70年代提出。它是一种模拟生物进化过程的启发式搜索算法,被广泛应用于函数优化、机器学习、调度问题等领域。 代码说明 …...
完整的Apache综合实验)
CentOS8.5.2111(7)完整的Apache综合实验
一、实验目标 1.掌握Linux系统中Apache服务器的安装与配置; 2.掌握个人主页、虚拟目录、基于用户和主机的访问控制及虚拟主机的实现方法。 二、实验要求 练习使用linux系统下WEB服务器的配置方法。 三、实验背景 重庆工程学院为筹备“重庆工程大学”特申请了c…...
——方法的使用—对流的处理(map,flatMap,filter))
flink学习(3)——方法的使用—对流的处理(map,flatMap,filter)
map 数据 86.149.9.216 10001 17/05/2015:10:05:30 GET /presentations/logstash-monitorama-2013/images/github-contributions.png 83.149.9.216 10002 17/05/2015:10:06:53 GET /presentations/logstash-monitorama-2013/css/print/paper.css 83.149.9.216 10002 17/05/20…...
Feed流系统重构:架构篇
重构对我而言,最大的乐趣在于解决问题。我曾参与一个C#彩票算奖系统的重构,那时系统常因超时引发用户投诉。接手任务时,我既激动又紧张,连续两天几乎废寝忘食地编码。结果令人振奋,算奖时间从一小时大幅缩短至十分钟。…...
YOLOv11融合[NeurlS2022]递归门控卷积gnconv模块及相关改进思路
YOLOv11v10v8使用教程: YOLOv11入门到入土使用教程 YOLOv11改进汇总贴:YOLOv11及自研模型更新汇总 《HorNet: Efficient High-Order Spatial Interactions with Recursive Gated Convolutions》 一、 模块介绍 论文链接:https://arxiv.org…...
java: itext 5.5 create pdf
/*** encoding: utf-8* 版权所有 2024 ©涂聚文有限公司* 许可信息查看: https://github.com/itext/itext-publications-examples-java/blob/develop/src/main/java/com/itextpdf/samples/sandbox/fonts/FreeSansBold.java* 描述:https://mvnreposit…...
EF Core学习笔记二
一、新建.net core的控制台项目 二、安装Entity Framework Core 我们使用的数据库是Sqlite,所以我们需要的程序包是Microsoft.EntityFrameworkCore.Sqlite。 如果想了解更多EF Core NuGet包,请参考:EF Core NuGet 包 | Microsoft Learn Install-Package Microsoft.Entit…...
快速排序【hoare版】
目录 介绍 算法思路 函数实现 函数声明 确定基准值 创建新函数 创建循环找数据(right,left) 交换左右数据 交换条件设置 外部循坏条件设置 初步总结代码 循环条件完善 内层循环的完善 外层循环的完善 相遇值大于keyi 相遇值等于k…...
RTOS)
day03(单片机高级)RTOS
目录 RTOS(实时操作系统) 裸机开发模式 轮询方式 前后台(中断方式) 改进(前后台(中断))定时器 裸机进一步优化 裸机的其他问题 RTOS的概念 什么是RTOS 为什么要使用 RTOS RTOS的应用场景 RTOS的…...
vue中v-if和v-show的区别
文章为本菜鸡学习过程中遇到的问题记录,不是专业的,如有问题和不足还请大佬指正 >参考文章 文章目录 前言1、v-if2、v-show3、v-if和v-show的区别 前言 问题描述: 在完成表单验证任务的学习过程中,发现在使用v-show隐藏元素后…...
MacOS通过VMware Fusion安装windows 11问题汇总
环境 虚拟机,VMware Fusion 13.6.1本地机器,ARM芯片的Mac,系统版本14.5Windows系统镜像,Window11 ARM 64 bit 安装卡在WiFi连接界面 适合我本地环境的解决步骤为: 1、系统设置网络共享 我开启的是en5,这…...
)
Stable Diffusion的解读(二)
Stable Diffusion的解读(二) 文章目录 Stable Diffusion的解读(二)摘要Abstract一、机器学习部分1. 算法梳理1.1 LDM采样算法1.2 U-Net结构组成 2. Stable Diffusion 官方 GitHub 仓库2.1 安装2.2 主函数2.3 DDIM采样器2.4 Unet 3…...
十五届蓝桥杯赛题-c/c++ 大学b组
握手问题 很简单,相互牵手即可,但是要注意,第一个人只能与其他49个人牵手,所以开头是加上49 #include <iostream> using namespace std; int main() {int cnt0;for(int i49;i>7;i--){cnti;//cout<<i<<&quo…...
NFS搭建
NFS搭建 单节点安装配置服务器安装配置启动并使NFS服务开机自启客户端挂载查看是否能发现服务器的共享文件夹创建挂载目录临时挂载自动挂载 双节点安装配置服务器安装配置服务端配置NFS服务端配置Keepalived编辑nfs_check.sh监控脚本安装部署RsyncInofity 客户端 单节点安装配置…...
【贪心算法第二弹——2208.将数组和减半的最小操作数】
1.题目解析 题目来源 2208.将数组和减半的最小操作数——力扣 测试用例 2.算法原理(贪心策略) 3.实战代码 class Solution { public:int halveArray(vector<int>& nums) {priority_queue<double> hash;double sum 0.0;for(auto e : nums){hash.push(e);sum …...
ByteBuffer 与 ByteBuf 的对比与优缺点分析
在 Java 网络编程和高性能 I/O 场景中,ByteBuffer 和 ByteBuf 是两种重要的缓冲区处理工具。ByteBuffer 是 Java NIO 标准库的一部分,而 ByteBuf 是由 Netty 框架提供的增强缓冲区工具。在实际开发中,选择哪一种取决于场景需求和性能目标。 …...
SpringBoot 集成 html2Pdf
一、概述: 1. springboot如何生成pdf,接口可以预览可以下载 2. vue下载通过bold如何下载 3. 一些细节:页脚、页眉、水印、每一页得样式添加 二、直接上代码【主要是一个记录下次开发更快】 模板位置 1. 导入pom包 <dependency><g…...
【IDEA】插件篇
环境:Mac M ,IDEA 2024.2.4 一、汉化 & 汉化后转回英文 1、汉化 IntelliJ IDEA -> Preferences -> Plugins -> MarketPlace,输入 chinese,点击 安装,安装完成后 重启IDE 2、汉化后转回英文 IntelliJ …...
librdns一个开源DNS解析库
原文地址:librdns一个开源DNS解析库 – 无敌牛 欢迎参观我的个人博客:无敌牛 – 技术/著作/典籍/分享等 介绍 librdns是一个开源的异步多功能插件式的解析器,用于DNS解析。 源代码地址:GitHub - vstakhov/librdns: Asynchrono…...
数据结构 【带环单链表】
在单链表中可能会存在一种情况,某一结点在经过几次转移之后回到了自己本身,这种情况就称之为带环链表。对于带环链表,我们不能轻易对其进行遍历,遍历可能会导致产生死循环。 带环链表的逻辑图如下所示:(这…...