Bei einem Penetrationstest auf Firefox Plugins zurückzugreifen gehört zum Alltag eines Pentesters. Auch in von uns durchgeführten Penetrationstests spielen Sicherheitslücken in Webseiten eine große Rolle. Mit bekannten Firefox Plugins lassen sich bereits viele Aspekte einer professionellen Sicherheitsuntersuchung durchführen. Wir stellen gängige Plugins vor, auf die jeder zurückgreifen kann der sich für das Thema interessiert oder ebenfalls im IT-Sicherheitsbereich tätig ist.
Bei der Durchführung von Penetrationstest nutzen wir die unterschiedlichsten Programme und Techniken um sicherzustellen, dass wir alle gängigen und bekannten Sicherheitslücken untersuchen können. Aber bevor umfangreiche Installationen oder gar das Betriebssystem gewechselt wird, kann im ersten Schritt auf andere, leichtgewichtigere Software zurückgegriffen werden. Die Rede ist von sogenannten Plugins. Diese erweitern die Funktionalitäten von Browsern und gehören heutzutage zum Alltagsgeschäft von Pentestern.
Im Oktober 2018 hat der Webbrowser Firefox den Aufbau seiner Plugins komplett umgestellt und nutzt seit dem nicht mehr XPCOM- und´ XUL-Schnittstellen sondern setzt auf WebExtension, wie es auch der Chrome Browser von Google tut. Damit haben sich damals auch einige Plugins massiv geändert. Hier stellen wir die von uns am meisten genutzten WebExtension Plugins vor.
Penetrationstests mit Firefox Plugins
Cookie Manager:
Ein Cookie ist eine Textdatei die Informationen enthält, die eine Webseite benötigt um einen Benutzer zu identifizieren. Cookies werden häufig dazu genutzt z.B. den Warenkorb eines Benutzers zu speichern. Aber auch allein die Frage, ob ein Benutzer eingeloggt ist oder nicht, kann durch ein gesetztes Cookie beantwortet werden. Des Weiteren können diese noch andere teils sensible Daten enthalten. Das Plugin “stylish” hat in der Vergangenheit für Aufsehen gesorgt, da das Plugin sensible Daten wie Passwörter, Login Accounts etc. mitgelesen hat.
Cookie Manager können dazu verwendet werden sich anzeigen zu lassen welche Cookies von einer Webseite benutzt werden. Diese Cookies können nicht nur dargestellt sondern auch manipuliert werden. Dadurch können wir bei Penetrationstests mit Firefox Plugins wie dem “Cookie Quick Manager” feststellen wie sicher das Sitzungsmanagement einer Webseite ist.
Bei den von uns durchgeführten Penetrationstests verwenden wir das Firefox Plugin “Cookie Quick Manager“. Dieses lässt uns alle Cookies von Webseiten durchsuchen, anzeigen sowie manipulieren. Dies stellt gerade für die Sicherheitsanalyse von Webseiten eine große Hilfe dar.
User-Agent-Switcher:
Seit in den Frühren 2010er Jahren der Boom der Smartphones begann gab es auch immer mehr Webseiten welche auf Handys ausgelegt wurden. So zeigen moderne Webseiten einen ganz anderen Aufbau auf dem Smartphone als auf dem großen Bildschirm eines Computers. Der Wechsel zwischen einer mobilen und einer stationären Ansicht passiert dabei fließend. Die Webseite erkannt anhand eines sogenannten User-Agents über welchen Browser und über was für ein Gerät sie aufgerufen wird und zeigt dementsprechend eine andere Ansicht an. Wer etwas mehr über dieses Thema lesen will dem Empfehle ich diesen Artikel aus unserem Blog.
Der User-Agent meines aktuellen Systems wäre beispielsweise der folgende:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:73.0) Gecko/20100101 Firefox/73.0
Bei den von uns durchgeführten Penetrationstests mit Firefox Plugins nutzen wir den “User Agent Switcher and Manager” mit diesen können wir unsere Identität gegenüber eine Webseite verschleiern und unseren Rechner als Smartphone oder Windows Rechner ausgegeben obwohl wir etwas ganz anderes nutzen. Dieses ist häufig hilfreich um Funktionen einer Webseite zu finden welche am Notebook oder am Smartphone nicht zu erreichen wären.
Identifikation von Software bei einem Penetrationstest mit Firefox Plugins:
Eine Webseite nutzt viele verschiedene Softwares um ihre Daten darzustellen. So besteht die Webseite welche wir hier besuchen aus einem Webserver, einer Programmiersprache, sowie diversen JavaScript und CSS Bibliotheken welche dafür sorgen, das die Webseite so aussieht wie jetzt. Bei professionellen IT-Sicherheitsuntersuchungen ist es wichtig zu wissen welche Software auf dem anzugreifenden System installiert ist. Dadurch erhält ein Penetrationstester direkt einen Eindruck davon welche Angriffsmöglichkeiten es auf dem System gibt. So können bei einer WordPress Anwendung explizit nach bekannten Schwachstellen für die von uns eingesetzte WordPress Version gesucht werden. Bei diesem Blog verwenden wir übrigens die folgende Software mit den im Bild abgebildeten Versionen.
Die oben abgebildeten Information konnten wir mit dem Firefox Plugin “Wappalyzer” auslesen. Dieses Plugin besucht ebenfalls die Webseite auf der wir surfen und liest alle Versionsnummern der genutzten Software aus und listet diese auf. Dies hilft bei einem Penetrationstest mit Firefox Plugins dabei veraltete Versionsnummern auszulesen und so Software mit bekannten Schwachstellen zu identifizieren.
Hackbar:
Bei der Suche nach Sicherheitslücken in Webanwendungen ist es immens wichtig, die Anfragen zu manipulieren welche im Hintergrund, während des Surfens, stattfinden. Um solche HTTP-POST und GET anfragen zu manipulieren gibt es Tools wie das Firefox Plugin “HackBar Quantum“. Dieses Plugin soll dazu genutzt werden SQL-Injections und Cross-Site-Scripting Schwachstellen zu identifizieren. Eine SQL-Injection ist ein nach wie vor sehr gefährlicher und oft zu findender Fehler in Webanwendungen. Manipulierte und gestohlene Daten sind oft das Ergebnis dieser Schwachstelle.
Mit Hilfe dieses Plugins ist es also möglich beliebige GET und POST Nachrichten an Webseiten zu senden und dabei auf viele integrierte Verschleierungstechniken wie Encoding zurückzugreifen. Diese Plugin ist gerade für das manuelle Testen von Sicherheitslücken in Webanwendungen sehr hilfreich, da es dem Benutzer schnell erlaubt manipulierte Anfragen an eine Webseite zu senden ohne dafür gesonderte Tools starten zu müssen.
Mitlesen von Nachrichten während eines Penetrationstests mit Firefox Plugins:
Gerade eben habe wir schon darüber gesprochen, dass man mittels Plugins die Anfragen an eine Webseite, welche im Hintergrund stattfinden, manipulieren möchte. Bevor ein Penetrationstester dies tun kann, müssen die Anfragen erst einmal mitgelesen werden können. Dafür gibt es eigene Programme wie den Interception Proxy Burp. Häufig muss ein Tester aber auch nur wenige Anfragen mitlesen, für die es sich nicht lohnen würde ein extra Programm zu starten. Daher verwenden wir häufig das Firefox Plugin “HTTP Header Live“. Dieses erlaubt es uns die Anfragen mitzulesen welche während des Surfens auf einer Webseite passieren.
So können wir in diesem Bild beispielsweise sehen, dass bei der Suche in unserem Blog eine Anfrage an “https://aware7.com/de/” durchgeführt wird. Der von uns gesuchte Begriff wird dann mit dem GET-Parameter “s” mitgesendet. Wenn wir also nun die Suchfunktion auf Sicherheitslücken testen wollen, wissen wir welche Anfrage wir dafür senden müssen. Diese Anfrage können wir nun in der “Hackbar Quantum” manipulieren und auf gängige Sicherheitslücken wie SQL-Injections und Cross-Site-Scripting testen. Gerade die Kombination der beiden zuletzt vorgestellten Plugins hilft vielen kleinen Projekten bei der Sicherheitsanalyse.
Professionelle IT-Sicherheitsuntersuchungen bei der AWARE7 GmbH
Die hier vorgestellten Tools bilden nur einen Bruchteil der Tools und Techniken ab, welche wir benutzen wenn wir Penetrationstests durchführen. Dennoch sollten diese Informationen gerade für Einsteiger hilfreich sein. Es sollte dennoch immer beachtet werden, dass Penetrationstest immer von Profis durchgeführt werden, welche Ihre Qualifikation über Abschlüsse und Zertifizierungen auch nachweisen können. Da es sonst bei Amateuren im Bereich Penetrationstesting auch immer zu Abstürzen von Systemen und Webseiten kommen kann und gerade dies kann nur durch professionelle Penetrationstests gesichert werden.