电话+V:159999-78052 ,欢迎咨询网页插件post data 有什么用吗,[python实用课程],[C++单片机原理],[C#网站搭建],[Nodejs小程序开发],[ios游戏开发],[安卓游戏开发],[教会用大脑用想法赚钱实现阶层跨越]
对于网络安全领域的高手们,无论是黑帽还是白帽黑客,他们手中的利器往往离不开强大的网络渗透工具。而在这些工具中,火狐浏览器因其灵活性和扩展性,深受黑客们的青睐。接下来,我们将揭示8款备受黑客推崇的火狐浏览器插件,助你在渗透测试和安全审计中如虎添翼。
2.HackBar:这个插件专为安全审计而生,它能进行XSS和SQL编码/解码,包括MD5、SHA1、Base64、Hexing和Splitting等高级操作。
LiveHTTPHeaders:类似TamperData,但它的独特之处在于实时监控浏览过程中的HTTP头部信息,为实时分析提供强有力支持。
UserAgentSwitcher:一个便捷的工具,只需轻轻一点,即可模拟不同设备和系统浏览器,如IE、搜索引擎爬虫或iPhone(IOS),帮助你深入洞察用户行为。
CookieManager+:不仅能查看和编辑cookies,还能透视其深层次信息,甚至同时处理多个cookies的修改和备份,对数据管理至关重要。
HTTPFox:这款插件像一只敏锐的眼睛,监测和解析浏览器与web服务器间的HTTP流量,让你洞悉数据传输的每一个细节。
PassiveRecon:作为一款被动网络侦查工具,它通过挖掘公开信息,为你的目标侦查提供无痕又高效的方法。
最后,SQLInjectme:在web应用中,SQL注入漏洞是黑客的噩梦,它能威胁到数据安全。这个插件能帮助你快速定位并修复此类漏洞,确保服务器防线的坚固。
一.简介
作为Firefox的插件,TamperData简单易用,功能强大,可以用来查看和修改HTTP/HTTPS的头部和POST参数;可以用来跟踪HTTP请求和响应并记时;可以对WEB站点进行某些安全测试,从而为调试WEB配置带来了极大的便利,是网站维护人员不可多得的实用工具。
二.安装
TamperData的安装很简单,如下所示:
第一步:打开Firefox,进入google.cn,搜索“tamperdata”,并点击搜到的"TamperData::FirefoxAdd-ons-"项。如下图所示:
第二步:进入TamperData安装页面后,找到下面的位置并点击,开始安装:
第三步:安装完后后,可以在Firefox菜单栏的“工具”菜单项里面找到TamperData,如下图所示:
三.使用
TamperData的使用也比较简单,下面介绍了其主要的用法:
点击Firefox菜单栏上“工具”菜单项里面的“TamperData”,就会弹出TamperData的主窗口,如下图所示:
可以看出,其主窗口主要分成三部分,分别如图中的1,2,3所示。当我们打开TamperData后,我们浏览网页时发出的每一个HTTP请求及其对应的响应都会被TamperData记录下来。第1部分显示每一个HTTP请求及其对应的HTTP响应的概要信息,其中包括了大量有用的信息,比如页面元素大小,HTTP请求的方法,HTTP响应的状态值,等等。最值得注意的是“Duration”和“TotalDuration”这两个字段的值,他们显示出了打开每一个页面元素所花费的时间和打开该页面花费的总时间。根据这些时间值,就可以判断出打开我们页面的速度如何,是哪些页面元素影响了整个页面打开的速度,从而为我们进一步优化页面提供宝贵的信息。当我们在第1部分选中某条概要信息后,第2部分会显示出对应的HTTP请求的头部信息,第3部分会显示出对应的HTTP响应的头部信息。
如果我们比较喜欢查看图型化的统计信息,那么可以在TamperData主窗口的第1部分单击右键,在弹出的菜单上点击“GraphAll”,如下图所示,那么这些每个页面元素及其打开它们所花费的时间,就会以图形的方式,直观地显示出来。具体的图形,就不提供了。
接下来,我们看看几个实际的例子。
第一个例子:我们把APACHE配置为,当用户第一次浏览我们的网站时,向用户的浏览器写入一个Cookie,以方便对他们的访问行为的跟踪,然后,我们需要验证配置是否正确。于是,我们开启TamperData,然后再访问我们网站的某个页面,接着分析TamperData所记录的数据。可以从第3个窗口看到,我们的APACHE服务器确实向我们的浏览器写入了预先配置的Cookie,如下图所示:
接下来,我们去体会TamperData的真实含义,即“篡改数据”(或者说定制HTTP请求):截取浏览器发出的每一个HTTP请求,提示我们选择是要进行定制,还是不做定制而直接提交请求,还是终止当前被截取的请求,然后根据我们的选择决定是打开定制窗口,还是直接向WEB服务器提交请求,还是终止当前的请求。
默认情况下,TamperData不会截取对图片的请求,所以,如果我们需要对获取图片的请求进行定制,那么需要一点点修改,点击TamperData主窗口上的“Option”,会出现下面的窗口,勾选“TamperwithImagesetc.”就可以了。
顺便提一下,从下面窗口的内容可以看出,TamperData还提供了一些进行XSS(跨站脚本)攻击和SQL注入攻击的代码,而且允许我们加入自己的攻击代码,极大地方便了我们对WEB站点进行安全测试。
是该进行“Tamper”的时候了。
点击TamperData主窗口上的“StartTamper”,开启对HTTP请求的截取。
一旦开启了对HTTP请求的截取,对于浏览器发出的每一个请求,TamperData都会截取,然后显示出下面的窗口,要求我们作出选择:
在此我们选择“Tamper”,准备对HTTP请求进行定制,对我们的WEB服务器配置进行测试和调试。
点击率“Tamper”之后,会出现下面的窗口。可以看到,窗口的顶部,显示当前被截获的HTTP请求,左边窗口显示的是浏览器发出的HTTP请求的头部各字段,右边窗口显示的是浏览器发出的HTTP请求的 POST参数。在这两个窗口里面,我们可以修改浏览器提交的HTTP请求头部字段/POST参数,删除某些浏览器提交的HTTP请求头部字段/POST参数,或者添加其他合法的HTTP请求头部字段/POST参数。很强大吧?
现在,我们想测试自己配置的图片防盗链是否正常起作用。于是我们添加一个Referer头部字段,并输入www.cisco.com,如下图所示,点击“OK”提交后,发现我们的请求被重定向到go_way.html页面,可见我们的配置是正确的。
下面是测试我们配置的防恶意浏览器访问。在下面的窗口,修改浏览器提交的User-Agent字段,将其设置为我们禁止的恶意访问浏览器之一,比如sogouspider,点击“OK”提交后,发现我们的请求被禁止了,可见我们的配置是正确的。
这样的例子,还可以写很多,在此就不再讲述了。有兴趣的读者可以去深入研究TamperData。
四.总结
TamperData是我见过的最好用的WEB调试工具之一,既可以统计每个页面及其元素的打开速度,又可以定制HTTP请求,对我们的网站进行安全测试。作为网站维护人员,实在是有必要掌握它,为自己的兵器库增加一种厉害的兵器。
附:本文提到的APACHE配置,可以参考我的另外一篇文章《我这样装APACHE》
GoogleXMLSitemaps:为博客添加xmlsitemap的插件,自动生成,发布文章之后自动更新。
2.Akismet:防止博客被spam的插件,自动删除恶意评论,对于群发广告、恶意评论更有效。
3.PlatinumSEOPack:WordPress的SEO插件,你的网站能不能被大家所知道全靠它了。
4.SEOtitleTag:也是一款SEO插件,可以让每篇文章都含有相应的关键词和描述,让每篇文章都符合SEO规范。
5.WordPressDatabaseBackup:WordPress非常需要的一个插件,安装之后,设定邮件,可以自动发送数据库到邮件,免除手动备份的麻烦,发送时间可以任意选定,每小时,每天,每两天等等。
6.WPKeywordlink:让关键词自动连接到地址,丰富网站内链。
7.日志自动截断:国人汉化的插件,原名为wp-limit-posts-automatically,此插件能控制文章在首页的显示字数,省略了每篇文章都加“more”标签的麻烦,非常实用,原英文插件只支持英文单词。
8.WordPressRelatedPosts:可以在小工具处直接调用,顾名思义,是能让页面显示最新文章的插件,可以在边栏或者是文章结尾调用,个人认为在文章结尾调用更加符合UE。
9.WP-PageNavi:WordPress分页插件,一般的主题都支持这个插件,给文章列表添加分页的插件,不带这个插件的话只能显示“较老的文章”,安装之后一般可以显示为“第一页,第二页等等”
10.WP-PostViews:这个也十分必要,很多主题都需要用到。
有了这十款基本插件,你的WordPress就更加完善了。当然,WordPress的插件成千上万,大家可以自行搭配所需插件。
11.WPTouch
12.PostByEmail
通过电子邮件发布文章
13、DX-Watermark
添加图片水印、文字水印一款好用的插件
14、GZippy插件
开启GZIP压缩创建
PS:如果喜欢,TeachCourse,谢谢能够帮助!
电话+V:159999-78052
机构由一批拥有10年以上开发管理经验,且来自互联网或研究机构的IT精英组成,负责研究、开发教学模式和课程内容。公司具有完善的课程研发体系,一直走在整个行业发展的前端,在行业内竖立起了良好的品质口碑。
