[AGGIORNATO] Web Pen Testing con Google Chrome

In questo articolo vedremo le principali estensioni per Google Chrome in grado di trasformare il Browser di Google in un ottimo strumento di Penetration Testing.

XSS Rays

Un completo scanner di XSS (Cross-site scripting) in grado di individuare falle all’interno del sito web e di evidenziare quale parte del codice HTML risulta “debole”.

GHDB

Il Google Hack Data Base è un completo motore di ricerca in grado di ricercare Exploit all’interno del famoso sito exploit-db e di riportare anche la descrizione della vulnerabilità.

Sicuramente noto software a tutti gli utenti dell’IT Security, Websecurify è anche disponibile per Google Chrome e permette di effettuare un’analisi a 360 gradi individuando più di venti vulnerabilità:

• SQL Injection
• Cross-site Scripting
• Carriage Return Linefeed Injection
• Cross-site Request Forgery
• Directory Listing Denied
• Directory Listing Enabled
• Email Disclosure
• SQL Error
• File Upload
• WWW Authentication
• Banner Disclosure
• Session Cookie not HTTPOnly
• IP Disclosure
• Session Cookie not Secure
• Discovered SOAP Service
• Path Disclosure
• Error Disclosure
• Local File Include
• User Disclosure
• Open Redirect
• Source Leakage

HPP Finder

HPP Findere sfrutta la tecnica HTTP Parameter Pollution, una recente tecnica di sfruttamento di vulnerabilità web. HPP Finder può rilevare URL e codice HTML soggetti a variazioni di parametri, ma non è una soluzione completa contro HPP.

Form Fuzzer

Un utility che sfrutta la tecnica del Fuzz Testing in grado di popolare automaticamente i Form dei siti internet, alla ricerca di vulnerabilità o di comportamenti anomali.