Hacking : quelques modules de Firefox

*Merci à Paul pour les corrections.*

Si Chrome a l’avantage d’être léger et rapide, il ne permet néanmoins pas les mêmes fonctionnalités que Firefox. En matière de modules utiles à l’ethical hacking, le panda roux tient la dragée haute à Google et voici quelques add-ons sympathiques à utiliser.

Le module Collusion est sans doute l’outil le plus graphique. Il permet de visualiser le traçage opéré par les sites Internet que vous visitez, à votre insu. Prenons l’exemple du journal Le Monde.

On voit donc que le simple affichage vers un quotidien envoie en réalité des informations vers d’autres sites, auxquels on n’a rien demandé, même en navigation privée. Encore expérimental, cet outil reste très intéressant, notamment pour afficher les interactions entre certains sites.

Pour ceux que les problématiques de Black SEO passionnent, un module est tout à fait adapté à leurs besoins, il s’agit de KGen. Il permet un scan des pages et affiche les mots-clefs envoyés aux moteurs de recherches, les URL cachées, les nuages de mots les plus lourds et permet l’export de toutes ces informations. Prenons cette fois-ci l’exemple de Filestube. La page d’accueil paraît plutôt simple pour ne pas dire simpliste. Observons ce que KGen va découvrir.

En regardant les captures d’écran, on pense que l’outil n’est pas performant puisqu’il ressort des informations qui n’apparaissent pas à l’écran. Prenons le mot « legi0n », en faisant un clic droit sur le mot et en sélectionnant « trouver dans la page », Firefox nous indique qu’il n’existe pas. 

Affichons le code-source de la page scannée.

On voit donc que non seulement le terme « legi0n » est insérée dans la page et qu’il est bien présent 6 fois comme l’indique le tableau. Un module intéressant qui montre qu’il faut toujours regarder derrière une page d’accueil.

Pour qui aime avoir des informations sur les photos, trois modules sympathiques existent : ExifViewer, FxIF et Gimp Right Click Image Uploader, que l’on peut utiliser de façon complémentaire. En faisant un clic droit sur une photo, on peut afficher les méta-données d’une photographie. Utiles dans certaines hypothèses, ils restent néanmoins un peu aléatoires dans la mesure où de plus en plus de sites anonymisent les photographies utilisées. Le module Gimp permet non seulement de visualiser les méta-données mais également d'anonymiser les informations des photos avant de les propulser sur Internet.   

Parfois, quand on gère un site, on a envie de tester sa sécurité, notamment les fameuses XSS. Le module XSS Me est tout indiqué. Affichez votre site, faites un clic droit, sélectionnez « Open XSS Me » et commencez les tests.Son temps de réponse varie selon les tests effectués et la taille du site. Il semblerait qu'il n'arrive à scanner que 10% des failles existantes. Néanmoins, prenez garde à le tester sur votre site et à prévenir votre hébergeur au préalable car vous risquez de surcharger le serveur. Par ailleurs, cela ne vous rend absolument pas anonyme.

Dans la même catégorie, mais le niveau au-dessus, on trouve la HackBar, qui est un outil de manipulation d'URL. 

Enfin, le module qu’il peut être utile d’avoir dans certaines hypothèses, c’est IPFuck. Il permet d’envoyer 4 adresses IP lorsque l’on se connecte quelque part. Il y a trois adresses générées aléatoirement et la vôtre. 

Même si certains modules sont encore en version expérimentale, ils peuvent rendre de grands services, notamment lorsque l’on recherche certaines informations.