2010年4月14日水曜日

セキュリティチェックに使えるFirefoxのアドオン

スズキです。

「クロスサイトスクリプティング」や「SQLインジェクション」を確認するために、
POSTパラメータを問題を起こしそうな値に変換して"submit"したいことがあると思います。

そのような場合は、Firefoxのアドオンである、"Firebug"と"Tamper Data"が便利です。

▼ Firebug
https://addons.mozilla.org/ja/firefox/addon/1843

Firebugには、現在のHTMLの内容を閲覧、編集する機能があります。
この機能で、"hidden"にされている"input"タグの"value"を書き換え、
その状態で"submit"すると、書き換えた値が、パラメータとして送信されます。

▼ Tamper Data
https://addons.mozilla.org/ja/firefox/addon/966

こちらは、通信をインターラプトするような感じのアドオンです。
監視モードにして、"submit"すると、一旦、通信が止まり、
別ウインドで、その内容の閲覧・編集ができ、そして、編集した内容で、
再度、通信させることができます。

また、こちらは、HTTPヘッダやCookieの値も変更することもできます。

セキュリティに関しても、ブログに書いていこう...

--------
http://www.suz-lab.com

0 コメント: