Convierte Chrome en una herramienta pentesting con estas extensiones

Convierte Chrome en una herramienta pentesting con estas extensiones

Rubén Velasco

Hoy en día, todos los navegadores web modernos cuentan con una gran variedad de extensiones. Estas pequeñas aplicaciones nos permiten dotar al navegador de una serie de funciones y características adicionales que no están presentes por defecto en el mismo y que, gracias a ellas, cada usuario puede personalizar por completo su navegador según sus usos y sus necesidades. Hoy en día existen extensiones de todo tipo de manera que podamos personalizar nuestro navegador web como queramos, incluso convirtiéndolo en una herramienta para pentesting como vamos a ver a continuación.

Como hemos dicho, actualmente existen cientos de extensiones de todo tipo para nuestro navegador, algunas pensadas en la seguridad, otras en hacer el uso de Internet lo más cómodo posible, otras que nos facilitan el acceso a ciertos servicios, etc. Por ello, a continuación, os vamos a dejar una lista de extensiones que nos van a permitir ir más allá y convertir nuestro navegador en una completa suite para pentesting web.

Las 19 extensiones que nos permiten convertir nuestro Google Chrome en una completa herramienta pentesting

Lo primero que necesitamos para convertir nuestro navegador en una herramienta de este tipo es una serie de extensiones que nos permitan trabajar con el código de las páginas web. Para ello, dos extensiones que no deben faltar en nuestro sistema son Web DeveloperFirebug Lite for Google Chrome.

Para ayudarnos a interpretar ciertas cadenas de contenido y ayudarnos a decodificarlas (o codificarlas, según el uso que vayamos a hacer de ellas) no podemos olvidarnos de D3Coder, un codificador compatible con la mayoría de los algoritmos utilizados en la web.

d3coder
d3coder
Developer: Izzy

Site Spider es la cuarta extensión que debemos tener siempre a mano. Gracias a ella podremos analizar fácilmente cualquier página web que visitemos y, automáticamente, saber todos los enlaces rotos o caídos.

Site Spider
Site Spider

En quinto lugar, otra extensión que debemos instalar en nuestro navegador pentesting es Form Fuzzer, una extensión que nos ayuda a rellenar formularios con información por defecto e incluso es capaz de marcar casillas de verificación, botones radio, etc. Imprescindible para ataques de inyección XSS y SQL.

La sexta herramienta es Session Manager, una extensión que nos permite trabajar cómodamente con conjuntos de extensiones de manera que, por ejemplo, podamos actualizar, cerrar o borrar conjuntos de pestañas.

Session Manager
Session Manager

Otras herramientas relacionadas con los datos de sesión que no deben faltar en nuestro navegador son Cookie Editor, que nos permite modificar las cookies de nuestro ordenador con información personalizada o borrarlas, y Cache Killer, para borrar la caché automáticamente antes de cargar cualquier página web de manera que siempre podamos ver la información del servidor actualizada.

Entrando ya más en materia, Request Maker nos va a permitir ya trabajar directamente con las peticiones del navegador. Con ella, vamos a poder crear y capturar peticiones de red, manipular direcciones URL y crear nuevos encabezados con datos POST, entre otras muchas funciones.

Proxy SwitchySharp es la décima extensión que no debemos pasar por alto y que nos va a permitir cambiar rápidamente de servidor proxy e incluso conectarse a determinadas webs siempre a través de un proxy determinado.

Ya centrándonos en extensiones para buscar vulnerabilidades, las que no deben faltar en nuestro navegador son XSS Rays, para buscar todo tipo de vulnerabilidades XSS, WebSecurify, una opción similar a la anterior pero compatible con más tipos de ataque diferentes, XSS chef, una opción más para buscar vulnerabilidades, HPP Finder, para buscar vulnerabilidades del tipo HTTP Parameter Pollution y Port Scanner, un completo escáner de puertos para el navegador.

XSS Rays
XSS Rays
Developer: Gareth Heyes

Y, por último, una serie de servicios, plataformas y herramientas que nos ayudarán a recopilar información sobre las vulnerabilidades, como, por ejemplo, The Exploit DatabaseGHDB, iMacros for ChromeIP Address and Domain Information.

GHDB
GHDB

¿Qué te parece esta colección de extensiones para convertir a Google Chrome en una completa suite de herramientas para pentesting?

Os recomendamos leer nuestro tutorial sobre los errores más habituales cuando hacemos un pentesting a una empresa.