Tamper Chrome: el TamperData de Firefox para Chrome
Tamper Chrome es una extensión de Chrome que te permite modificar peticiones HTTP en el aire y ayudar en las pruebas de seguridad web. Tamper Chrome funciona en todos los sistemas operativos (incluido Chrome OS). Ahora TamperChrome es de código abierto disponible en github.
Una herramienta muy parecida al conocido Tamper Data de Firefox.
Permite al usuario modificar las solicitudes tal y como ocurren. Para usarlo, actualice el sitio web y observe las "Herramientas para desarrolloradores" (haga clic con el botón izquierdo del ratón en el elemento -> inspeccionar).
Tamper Chrome aparecerá en una nueva pestaña. Consulte el tutorial aquí: https://github.com/google/tamperchrome/blob/master/README.md
Requiere Tamper Chrome Aplicación
Tamper Chrome te permite supervisar las solicitudes enviadas por tu navegador y las respuestas. También puede modificar las solicitudes a medida que salen y, en una medida limitada, modificar las respuestas (encabezados, css, javascript o XMLHttpRequest responseText).
Vea lo que los sitios web están enviando en segundo plano, modificar las presentaciones, cambiar scripts, alterar las respuestas AJAX, Tamper Chrome pone el poder de su navegador en sus manos.
Tamper Chrome le pedirá que instale su aplicación complementaria cuando lo ejecute por primera vez.
Herramientas - Opciones
En la siguiente sección se explica cómo usar cada herramienta.
Puede hacerlo simplemente cambiando la URL y haciendo clic en Permitir.
También puede hacer clic en Editar javascript y Editar hojas de estilo, que le permitirá modificar el código javascript y CSS en sí.
Tenga en cuenta que al hacer clic en ignorar las solicitudes, dejará pasar todas las solicitudes.
Si bien las solicitudes de bloqueo / redireccionamiento son útiles para manipular un sitio web y cancelar algunas solicitudes, en muchos casos es posible que desee modificar los encabezados de solicitudes HTTP.
Esta herramienta le permitirá hacer exactamente eso.
Puede soltar una cabecera haciendo clic en el icono Papelera o copiar el valor haciendo clic en el icono Copiar. Puede agregar un nuevo encabezado haciendo clic en el botón [nuevo].
Encabezados de respuesta
Los encabezados de respuesta funcionan exactamente igual que los encabezados de solicitud. Permite eliminar, modificar o añadir nuevos encabezados.
Respuesta
Muy útil para eliminar o modificar muchos encabezados de seguridad como Content-Security-Policy, X-Frame-Options, X-XSS-Protection, etcétera.
A diferencia de otras herramientas, esta herramienta es en su mayoría sólo útil para monitorear sitios web que usan HTML5 postMessage API.
Cuando se activa, hace lo siguiente:
Registra cada mensaje recibido en todos los iframes en la pestaña actual. Iniciar sesión
Establece un punto de interrupción en cada controlador que escuche postMessage. Punto de interrupción
Otra característica muy interesante de Tamper Chrome es que te permite depurar vulnerabilidades XSS un poco mejor.
Al probar XSS, puede usar como un elemento HTML (también funciona como atributo y como variable javascript - también puede usar y ) y Tamper Chrome detectará automáticamente Y mostrarle dónde está y el seguimiento de la pila desde donde se generó. Particularmente útil para DOM XSS.
La última herramienta en Tamper Chrome es reproducir y modificar solicitudes. Esto es especialmente útil porque le permite modificar peticiones POST incluyendo su cuerpo (o hacer solicitudes POST en solicitudes GET), que de lo contrario sería difícil o imposible.
Tenga en cuenta que si modifica la solicitud, se generará una nueva solicitud, que a su vez se le permitirá modificar. Así que asegúrese de dejar al menos una solicitud sin modificar por lo que las solicitudes de dejar de aparecer.
Una herramienta muy parecida al conocido Tamper Data de Firefox.
Permite al usuario modificar las solicitudes tal y como ocurren. Para usarlo, actualice el sitio web y observe las "Herramientas para desarrolloradores" (haga clic con el botón izquierdo del ratón en el elemento -> inspeccionar).
Tamper Chrome aparecerá en una nueva pestaña. Consulte el tutorial aquí: https://github.com/google/tamperchrome/blob/master/README.md
Requiere Tamper Chrome Aplicación
Tamper Chrome te permite supervisar las solicitudes enviadas por tu navegador y las respuestas. También puede modificar las solicitudes a medida que salen y, en una medida limitada, modificar las respuestas (encabezados, css, javascript o XMLHttpRequest responseText).
Vea lo que los sitios web están enviando en segundo plano, modificar las presentaciones, cambiar scripts, alterar las respuestas AJAX, Tamper Chrome pone el poder de su navegador en sus manos.
Tamper Chrome le pedirá que instale su aplicación complementaria cuando lo ejecute por primera vez.
Herramientas - Opciones
- Block / Reroute Requests
- Request Headers
- Response Headers
- Monitor PostMessages
- Monitor Reflected XSS
- Replay Requests (Experimental)
En la siguiente sección se explica cómo usar cada herramienta.
Block / Reroute Requests
Esta herramienta le permite bloquear o redirigir una solicitud desde el navegador, por ejemplo, si un sitio web está solicitando una versión minificada de jQuery, puede redirigirla a la versión no minificada de jQuery.Puede hacerlo simplemente cambiando la URL y haciendo clic en Permitir.
También puede hacer clic en Editar javascript y Editar hojas de estilo, que le permitirá modificar el código javascript y CSS en sí.
Tenga en cuenta que al hacer clic en ignorar las solicitudes, dejará pasar todas las solicitudes.
Request Headers
Si bien las solicitudes de bloqueo / redireccionamiento son útiles para manipular un sitio web y cancelar algunas solicitudes, en muchos casos es posible que desee modificar los encabezados de solicitudes HTTP.
Esta herramienta le permitirá hacer exactamente eso.
Puede soltar una cabecera haciendo clic en el icono Papelera o copiar el valor haciendo clic en el icono Copiar. Puede agregar un nuevo encabezado haciendo clic en el botón [nuevo].
Response Headers
Encabezados de respuesta
Los encabezados de respuesta funcionan exactamente igual que los encabezados de solicitud. Permite eliminar, modificar o añadir nuevos encabezados.
Respuesta
Muy útil para eliminar o modificar muchos encabezados de seguridad como Content-Security-Policy, X-Frame-Options, X-XSS-Protection, etcétera.
Monitor PostMessages
A diferencia de otras herramientas, esta herramienta es en su mayoría sólo útil para monitorear sitios web que usan HTML5 postMessage API.
Cuando se activa, hace lo siguiente:
Registra cada mensaje recibido en todos los iframes en la pestaña actual. Iniciar sesión
Establece un punto de interrupción en cada controlador que escuche postMessage. Punto de interrupción
Monitor Reflected XSS
Otra característica muy interesante de Tamper Chrome es que te permite depurar vulnerabilidades XSS un poco mejor.
Al probar XSS, puede usar
Replay Requests (Experimental)
La última herramienta en Tamper Chrome es reproducir y modificar solicitudes. Esto es especialmente útil porque le permite modificar peticiones POST incluyendo su cuerpo (o hacer solicitudes POST en solicitudes GET), que de lo contrario sería difícil o imposible.
Tenga en cuenta que si modifica la solicitud, se generará una nueva solicitud, que a su vez se le permitirá modificar. Así que asegúrese de dejar al menos una solicitud sin modificar por lo que las solicitudes de dejar de aparecer.
Via: blog.elhacker.net
Tamper Chrome: el TamperData de Firefox para Chrome
Reviewed by Zion3R
on
21:05
Rating:
Reviewed by Zion3R
on
21:05
Rating:
