РегистрацияЭто старая редакция страницы Софт / Расширения Firefox / analysis за 17/02/2015 12:20.
Анализ трафика, кода, других данных и/или их изменение
Основная страница: Дополнения браузера Firefox, связанные с безопасностью
Небольшой обзор инструментов веб-разработки на русском: http://habrahabr.ru/blogs/webdev/133566/
Firebug
Firebug — многофункциональный инструмент для анализа кода, трафика и их изменения.
Важный момент – расширения для Firebug, позволяющие сильно увеличить возможности.
Web Developer
Web Developer — добавляет панель с множеством инструментов для исследования сайтов, серверов, настройки Firefox etc.
Cookies Manager+
Cookies Manager+ — просмотр, дополнительная информация, редактирование, создание, резервирование/восстановление куков.
Пользовательские скрипты
Пользовательские скрипты — это скрипты написанные на языке JavaScript, которые можно выполнять внутри браузера.
Да, конечно можно вставить код скрипта в адресную строку и выполнить его, но перейдя на новую страницу – скрипт (в большинстве случаев) вам потребуется снова выполнять. Чтобы не делать этого вручную, были написаны 2 дополнения (абсолютно аналогичные друг другу, вам нужно только одно из них), для управления скриптами: GreaseMonkey и Scriptish. Второе дополнение более предпочтительно, т.к. в нём в отличие от первого проведены различные оптимизации и убрана совместимость со старыми версиями Firefox (версии до 4.0 – не поддерживаются), оно дополнено мелкими нововведениями и его код регулярно сверяется с кодом GreaseMonkey, так что все возможности GreaseMonkey перетекают в Scriptish.
Огромное хранилище пользовательских скриптов находится тут, а здесь находится раздел русскоязычного форума посвящённый избранным скриптам (либо универсально полезным, либо написанным форумчанами).
По умолчанию – все скрипты кроссбраузерны, если не используют специфичные для какого-то браузера функции, вовнутрь скриптов можно вставлять и CSS-стили.
Внимание! Учтите, что скрипты никто не проверяет, так что устанавливаются они на ваш страх и риск.
Использована статья: https://forum.mozilla-russia.o.....p?pid=519277#p519277
GreaseMonkey
GreaseMonkey — позволяет добавить на любую страницу пользовательский JavaScript. Дополнительно имеет раширенный набор функций по сравнению с обычным JavaScript и мета-параметры (функции в описании скрипта), позволяющие подключать внешние файлы и библиотеки, в том числе, jQuery.
Scriptish
Scriptish — позволяет добавить на любую страницу пользовательский JavaScript. Дополнительно имеет раширенный набор функций по сравнению с обычным JavaScript и мета-параметры (функции в описании скрипта), позволяющие подключать внешние файлы и библиотеки, в том числе, jQuery.
По сравнению с GreaseMonkey проведены различные оптимизации и убрана совместимость со старыми версиями Firefox (версии до 4.0 – не поддерживаются), оно дополнено мелкими нововведениями и его код регулярно сверяется с кодом GreaseMonkey, так что все возможности GreaseMonkey перетекают в Scriptish.
Пользовательские стили
Пользовательские стили – это то, что поможет изменить внешний облик браузера или сайтов.
Стили пишутся на формальном языке CSS. С помощью стилей можно создавать правила вроде "подсветить все ссылки таким-то цветом и подчеркнуть их волнистой линией", "сменить цвет фона и текста на этом сайте" или "сменить иконку курсора на такую-то, при наведении на прямую ссылку на скачивание *.zip архива". Писать стили довольно просто.
Пользовательские стили подключаются браузером при запуске из файлов userChrome.css (для стилей меняющих облик браузера) и userContent.css (для стилей меняющих облик сайтов). Чтобы иметь возможность применять стили без перезагрузки браузера – требуется установить дополнение Stylish.
Кстати, если разобрать *.xpi файл какой-то темы, то внутри будут стили в *.css файликах, да картинки (которые, кстати, можно врезать в стили). То есть можно написать стиль, который целиком будет заменять вам тему оформления.
Огромное хранилище пользовательских стилей находится тут, а здесь, находится раздел на форуме mozilla-russia.org, где форумчане делятся полезными пользовательскими стилями.
Использована статья: https://forum.mozilla-russia.o.....p?pid=519277#p519277
Stylish
Stylish — позволяет применять пользовательские стили CSS к любым открываемым браузером сайтам и интерфесу браузера. Меняет оформление и поведение элементов.
Stylish-Custom
Stylish-Custom — дополнение для Stylish. Добавляет функции: импорт/экспорт стилей, поиск/замена при редактировании, "снимок" состояния стилей и его восстановление, быстрое включение/выключение стилей и другие.
Stylish Sync
Stylish Sync — синхронизация пользовательских стилей для различных устройств с Firefox и экзепляров браузера. Происходит через сервера Mozilla в зашифрованном виде.
Custom Buttons (a.k.a. КБ
Custom Buttons (a.k.a. КБ) — создания программируемых кнопок, задавая им выполнение определённых функций.
Функционал этого дополнения настолько широк, что позволяет создавать очень продвинутые кнопки, которые способны заменить целиком некоторые дополнения. Для написания кнопок используется JavaScript, но с меньшими ограничениями (например, имеется возможность вызова встроенных функций браузера), чем у пользовательских скриптов.
На форуме mozilla-russia.org есть тема для обсуждения кодов кнопок, раздел с обсуждением готовых кнопок (там же есть и тема содержащая только уже готовые кнопки, без их обсуждения). Существует и англоязычный форум, где тоже выкладываются готовые кнопки.
Примеры кнопок, относящийся к безопасности:
Меняет user agent
Настройка прокси
Использована статья: https://forum.mozilla-russia.o.....p?pid=519277#p519277
iMacros for Firefox
iMacros for Firefox — автоматизация повторяющихся задач, таких как посещение сайтов, заполнение форм и запоминание паролей и других рутинных действий при работе в Интернет. Если у вас есть какие-нибудь действия, которые Вам приходится часто повторять их можно автоматизировать записав их в макрос и повторить одним нажатием. С iMacros вы можете просто и быстро заполнять Web-формы, запоминать пароли, загружать информацию с других сайтов, собирать какие-либо данные с сайтов и так далее. Вы можете хранить макрос на Вашем компьютере для ваших собственных нужд или Вы можете делиться им с другими, выложив его на Вашей домашней странице, блоге, в корпоративной сети или любым другим способом, который делает Ваши данные доступными другим. Применение ограничено лишь вашей фантазией.
Всё что вы делаете с помощью FireFox, Вы можете автоматизировать с iMacros.
Код
HackBar
HackBar —- предназначен для проведения исследования уязвимостей, ручной sql и xss инъекции в адресной строке. Может разбить адресную строку по параметрам. Позволит быстро вставлять различные векторы для проверки уязвимостей. Имеет несколько полезных инструментов. Например для кодирования URL, строк и символов. Может перевести строку в CHAR(N,N,N,N), что удобно, когда экранируются кавычки.
JavaScript Deobfuscator
JavaScript Deobfuscator — делает читаемым обфусцированный код (с помощью программы или вручную запутанный js код, который трудно понять). Это дополнение попробует провести деобфускацию и приведет скрипт к более читабельному виду.
SQL Inject Me
SQL Inject Me — поиск уязвимостей к SQL инъекциям.
XSS Me
XSS Me — инструмент для поиска XSS-уязвимостей.
Трафик
HttpFox
HttpFox — анализирует входящий и исходящий трафик HTTP между браузером и сервером (заголовки запроса и ответа, отправленные и полученные куки (cookies), параметры запрос, POST параметры). Монитор перехватывает информацию браузер-сервер в реальном времени. Это дополнение для более подробного изучения сайта (сервера).
TamperData
TamperData — позволяет отслеживать и модифицировать http/https запросы. TamperData может помочь в тестировании, отладки web-приложений и не только.
View Dependencies
View Dependencie — добавляет в окно "Информация о странице" (клик по значку перед адресом) пункт со списком всех файлов страницы и информацию о них.
fontinfo
fontinfo — позволяет просмотреть детальную информацию о шрифтах на странице. В том числе источник (если внешний, то адрес источника).
Контроль http заголовков (Http headers)
Если вы подменяете user agent (меняете отправляемые http заголовки, чтобы подменить данные о используемом браузере) вы должны знать, что реальные данные можно получить с помощью javascript. Существует дополнение для подмены, если вы хотите подменить user agent полностью используйте их совместно User-Agent JS Fixe (но полностью скрыть user agent от скриптов оно не сможет).
RefControl
RefControl — управляет реферерами – передачей сведений о последней просмотренной странице сайта, сайту на который вы переходите с него, нажав на определенную ссылку.
Referrer Control
Referrer Control — управляет реферерами – передачей сведений о последней просмотренной странице сайта, сайту на который вы переходите с него, нажав на определенную ссылку.
User Agent Switcher
User Agent Switcher — позволяет менять user agent браузера, прикидываясь другим браузером (IE, Opera etc) или ботом. Полезно для некоторых сайтов. Также возможно изменять некоторые другие заголовки, в основном, связанные с UserAgent.
UAControl
UAControl — позволяет контролировать строку User-Agent (название и версию браузера, используемую операционную систему etc) передаваемую в HTTP заголовке, для отдельных сайтов (доменов).
LiveHTTPHeaders
LiveHTTPHeaders — просмотр HTTP заголовков в режиме реального времени.
Modify Headers
Modify Headers — добавление, изменение и фильтр HTTP запросов заголовков отправляемых веб-серверу. Полезен для веб-разработки, HTTP тестирования и приватности.
Header Spy
Header Spy — показывает заголовки HTTP в статусной строке браузера. После загрузки страницы, в статусной строке браузера появится наименование и версия операционной системы сервера, на котором установлен сайт. При наведении курсора, появится окошечко с информацией: User-agent, ответ сервера, дата, куки. Все это настраивается, можно добавлять, удалять, изменять размеры и прочее.
ipFlood
ipFlood — маскирует IP под IP прокси (ваш IP будет виден, как IP прокси). Генерирует случайные IP (можно установить постоянный вручную) и отправляет их серверу в заголовках описывающих прокси. В итоге сервер считает, что ваш IP принадлежит прокси в любом случае (даже, если вы его не используете). Кроме того подменяются заголовки содержащие ваш реальный адрес
Примечание. Некоторые прокси не предназначены для маскировки и могут отдавать реальный IP в одном из заголовков.
Пояснение. Реальный IP не скроете, просто замаскируете под прокси.
Подменяемые заголовки:
HTTP_X_FORWARDED_FOR — реальный IP или (возможен, но не обязателен) список IP в случае цепочки прокси.
HTTP_CLIENT_IP — IP клиента
HTTP_VIA — IP прокси
Подробнее:
http://habrahabr.ru/post/177113/
http://www.xakep.ru/magazine/xa/108/138/1.asp
Для чего: Для использование совместно с прокси, которые не подменяют заголовки. Для запутывание сервера, для тестов сервера.
Необходимые настройки приватности:
1. Очистите белый список (список игнорируемых доменов), он может быть заполнен по умолчанию.
Другое
SQLite Manager
SQLite Manager — графический интерфейс для управления базами данных SQLite. Эта база данных используется в Mozilla Firefox для хранения данных (например: пароли, закладки etc)
Torrent Tornado
Torrent Tornado — торрент клиент на JavaScript.
FireFTP
FireFTP — FTP/SFTP клиент.
FireSSH
FireSSH — SSH клиент.
DownThemAll
DownThemAll — полноценный менеджер загрузок, имеет множество настроек и удобный интерфейс.
DOM Inspector
DOM Inspector — классический двухпанельный редактор DOM-дерева. Также работает с XUL.
Exif Viewer
Exif Viewer — позволяет просматривать данные EXIF и IPTC. (Exif (Exchangeable Image File), IPTC-NAA/IIM (International Press Telecommunications Council / Newspaper Association of America / Information Interchange Model) и IPTC Core (Adobe XMP, Extensible Metadata Platform)). Это информация добавляемая фотокамерами или прочими устройствами к фотографиям или иным картинкам (от технической, вроде модели камеры, до местоположения снимающего, определяемое через GPS).
Пример угрозы: http://habrahabr.ru/post/142192/
Element Properties
Element Properties — возвращает в firefox пункт контекстного меню "свойства", позволяет узнать дополнительную информацию о элементе страницы.
wmlbrowser
wmlbrowser — позволяет просматривать wap сайты, написанные на WML (Wireless Markup Language).
InlineDisposition
InlineDisposition — изменяет передаваемый сервером браузеру тип файлов (Content-Disposition) с "прикреплённый" ("attachment") на встроенный ("inline"), что позволяет открывать и просматривать, поддерживаемые браузером файлы, внутри самого браузера.
Regular Expressions Tester
Regular Expressions Tester — проверка регулярных выражений, подсветка и помощь в их составлении.
