#BOFHers Herramientas para Google Chrome

Inspirado en este post sobre herramientas para Iceweasel/Firefox del gran Daboblog os comparto las herramientas/plugins que uso en Google Chrome y que os pueden resultar útiles para detectar problemas y valorar la seguridad de las páginas web que visitáis.

plugins

 

Voy a dividir en dos las herramientas, por un lado las de uso general y luego las especializadas en información, seguridad y de apoyo al pentesting.

Uso General

Do Not Track Me

Muy útil si nos os gusta ser rastreados por los múltiples servicios para anunciantes que hay disponibles. Un pellizco más de privacidad en un mundo donde cada día se diluye más este concepto.

AdBlock

No confundir con AdBlock Plus, este no muestra ni la publicidad no invasiva como el otro. Muy efectivo en páginas de torrents.

TamperMonkey

Un clon de GreaseMonkey, nos permite gestionar scripts de usuario de manera sencilla, activarlos o desactivarlos, importarlos, etc.

He dudado bastante en poner este plugin, mal usado puede resultar peligroso para el usuario.

Hay scripts como SaveTube que nos pueden servir de ayuda para descargar vídeos y audios de Youtube, Vimeo, IMDB, etc.

SaveTube añadiendo un desplegable para descargarnos un vídeo en diferentes formatos y resoluciones

SaveTube añadiendo un desplegable para descargarnos un vídeo en diferentes formatos y resoluciones

Otros como Green SSL Password Field que nos avisan cuando un formulario con un campo de tipo password se va a enviar a través de una conexión cifrada SSL.

Formulario con campo de clave enviado a través de HTTPS

Formulario con campo de clave enviado a través de HTTPS

 

Otro formulario idéntico pero que no usa HTTPS para enviar los datos cifrados.

Otro formulario idéntico pero que no usa HTTPS para enviar los datos cifrados.

Y luego auténticos fakes como Salesforce Field Security Profile Helper, que suena muy bien, está orientado a un usuario con un perfil más de ventas que técnico, y que en realidad se trata de un script para hacer «Me gusta» en tu nombre cuando accedas a tu cuenta de Facebook desde el navegador.

Antes de instalaros un script, a falta de tener conocimientos para ver que hace el código fuente, elige aquellos que tengan bastantes revisiones y buena puntuación en la web de UserScripts.

Uso Profesional

HTTP Headers

Visualiza de manera rápida las cabeceras que devuelve el servidor web de la página que estás visitando.

Edit This Cookie

Permite visualizar las cookies de una web y variar su contenido. Muy útil para evaluar como manipula una web los datos que recibe a través de las cookies que envía el navegador web del usuario.

Os sorprendería saber cuantas webs confían en los datos recibidos y no los sanean, algunos incluso los usan para generar consultas en la base de datos, por lo que son vulnerables a ataques de inyección de SQL.

Wappalyzer

Realiza un análisis de las tecnologías web que usa la página que estamos visitando, desde el CMS (Joomla, Drupal, WordPress) a Google Analytics, JQuery, PHP, Python… detecta más de 500 tecnologías y servicios diferentes.

Web Developer

Del mismo autor que el conocido plugin para Firefox. Es un conjunto de utilidades que nos permiten manipular la web, diseño, formularios, cookies, etc.

Form Fuzzer

Para realizar Fuzz Testing en formularios.

Proxy SwitchySharp

Permite crear perfiles de Proxy y cambiar entre ellos de manera sencilla. Muy útil cuando tienes que hacer pruebas con ZAP, MitM Proxy, etc.

Cache Killer

Para limpiar la caché de Chrome antes de cargar una página.

XSS Rays

Scanner XSS, herramienta de ingeniería inversa, etc.

WebSecurify

Conjunto de utilidades para testear la seguridad de sitios web. Dispone de varios plugins gratuitos y muchos más de pago porsubscripción (los más interesantes).

Port Scanner

Plugin para escanear los puertos del servidor que aloja la web que estamos visitando.

HPP Finder

Testea si la web y sus formularios son vulnerables al HTTP Parameter Pollution. Más información sobre HPP en este post de Chema Alonso.

IP Address and Domain Information

Completa información sobre la IP, proveedor y dominio de la web que visitamos.

ModHeader

Manipulación de las cabeceras que se envían al servidor.

Algunas funciones están repetidas, como la manipulación de cabeceras y cookies en diferentes plugins… Confieso que es por vagancia ya que unos son más rápidos de usar que otros (Web Developer) aunque sean menos completos.

Nota: El uso de estas herramientas no debe substituir nunca una buena auditoría de seguridad de vuestras webs y de los servidores en las que están alojadas.