目录
5.User-Agent Switcher for Chrome
安装扩展
在Chrome中安装扩展可直接在地址栏中输入 chrome://extensions/并按回车键进入,也可以依次选择右上角的设置→更多工具→扩展进入相同的界面。(或者直接点右上角)
。可以自己发布扩展,也可搜索下载扩展
(这些扩展许多都来自GitHub)
(我习惯用火狐下东西)
1.Developer Tools
简介:
Developer Tools是Chrome浏览器自带的开发者工具,也是最常用到的功能,它集成Elements、Console、Sources、Network、Application等丰富的开发工具于一体,可以让Chrome对网页的元素、样式和脚本进行实时编辑、调试和监控。
需要处理JS相关时,可以在Console面板中直接运行JS代码,而在XSS题目中,在Elements面板中可以方便地定位元素的位置等
常用功能:
Elements:查看网页源码经过浏览器渲染后的所有元素,可手动修改元素的属性和样式,并在浏览器中得到实时的反馈。
Console:记录并显示开发者或浏览器输出的日志和调试信息,并可以作为与JS进行实时交互的命令行Shell。
Sources:通常用于下断点调试JS。
Network:记录发起请求后服务器响应的各种资源信息(包括状 态码、资源类型、大小、耗时等),可以查看每个请求和响应的元信息。
Application:记录网站加载的所有资源信息,包括存储数据(Local Storage、Session Storage、IndexedDB、Web SQL、Cookies)、缓存数据、字体、图片、脚本、样式表等
Security:从技术层面判断当前网页的安全性,如,是否有可疑代码、证书是否合法、通信链路是否安全等。注意,其并不能判断该网站是否为钓鱼网站或是否含有欺诈信息
2.Hasher
简介:
一款可以快速计算常见哈希算法(MD5/SHA1/HMAC/CRC等)、常用加密算法(AES/DES/RC4等)、编码转换(Base64/ROT13/HTML字符实体等)、网络地址转换、时间转换及进制转换等功能的工具,与前面Burp中的Decoder模块类似。
3.Proxy SwitchyOmega
简介:
一款代理插件,可以在多个代理配置文件之间快速切换。在前面的小节中我们说过,Burp切换代理时不是十分方便,这时候就可以将Burp与它结合,从而实现点击鼠标就能完成代理的切换。此外,在遇到内网渗透相关的题目时,打通socket隧道后也可以用它来让浏览器全局使用代理进行内网渗透。
![]()
4.Cookie管理的插件
简介:
Cookie管理器,可以方便地添加、删除、修改、查询和锁定站点的Cookies。可以配合XSS的题目使用,例如,当我们获得管理员的Cookies后,可以方便地修改这个站点的Cookies,从而以管理员的身份登录并进行后续获取flag的操作。
小图标
开发者模式下
5.User-Agent Switcher for Chrome
简介:
这款工具可以让我们方便地进行User-Agent的切换,这一点在某些限制User-Agent的题目中可能会用到,比如模拟微信客户端UA进行访问等。
6.Wappalyzer
简介:
这款插件可以方便地查看当前站点的服务器型号、版本、服务器端语言等信息,可以帮我们进行一些初步的信息收集。不过,此处获取到的信息仅可作为参考,因为部分比赛题目会使用障眼法来影响你的判断,例如,Apache服务器返回了一个伪造的IIS头。
7.XPath等
简介:
用来定位、提取和选择指定元素的XPath,通常配合爬虫使用。浏览器中的插件还有很多