2.2　火狐瀏覽器56.0的HackBar和FoxyProxy

筆者使用的火狐（Firefox）瀏覽器版本是56.0，再配合HackBar插件，為后續(xù)審計(jì)代碼過程中調(diào)試HTTP請(qǐng)求參數(shù)提供了方便。在代碼審計(jì)過程當(dāng)中，要審計(jì)的程序中可能有很多參數(shù)，使用HackBar這款火狐插件會(huì)很清晰地羅列出要審計(jì)的URL地址里面的參數(shù)。

FoxyProxy這款工具可以很方便地調(diào)整代理IP地址和端口，使用起來很方便。如果讀者發(fā)現(xiàn)有更好用的工具，也可以使用，筆者采用這款工具只是為了演示。

2.2.1　安裝火狐瀏覽器

本書使用Firefox56.0版本，讀者如果使用新版本也是可以的。但是要注意，如果使用新版本的火狐瀏覽器，插件可能會(huì)出現(xiàn)不兼容的情況。如果出現(xiàn)此種情況，建議降低瀏覽器版本或重新安裝，關(guān)閉瀏覽器自動(dòng)更新功能，或者使用可兼容的新版本插件。

現(xiàn)在，在Firefox官網(wǎng)上只能下載最新的版本，但是官網(wǎng)的ftp中還是支持下載56.0版本。筆者提供如下鏈接供大家參考。

●Windows 32位版本：http://ftp.mozilla.org/pub/firefox/releases/56.0/win32/zh-CN/Firefox%20 Setup%2056.0.exe

●Windows 64位版本：http://ftp.mozilla.org/pub/firefox/releases/56.0/win64/zh-CN/Firefox%20 Setup%2056.0.exe

●MAC版本：http://ftp.mozilla.org/pub/firefox/releases/56.0/mac/zh-CN/Firefox%2056.0.dmg

●Linux 32位版本：http://ftp.mozilla.org/pub/firefox/releases/56.0/linux-i686/zh-CN/firefox- 56.0.tar.bz2

●Linux 64位版本：http://ftp.mozilla.org/pub/firefox/releases/56.0/linux-x86_64/zh-CN/ firefox-56.0.tar.bz2

讀者可以自行下載所需版本并安裝，如圖2-13所示。

圖2-13　安裝火狐瀏覽器

安裝完成后需要設(shè)置瀏覽器的“不允許自動(dòng)更新”項(xiàng)，設(shè)置方法為選擇“選項(xiàng)→常規(guī)→更新”，在打開的界面中設(shè)置“不檢查更新（不推薦）”，如圖2-14和圖2-15所示。

圖2-14　火狐軟件自身更新設(shè)置

圖2-15　禁用自身更新

如果重啟（關(guān)閉火狐瀏覽器后重新打開）后還會(huì)自動(dòng)更新，那么重新安裝一次即可。

2.2.2　HackBar的安裝與使用

HackBar是安全測(cè)試必備插件，支持Get、Post。該插件能幫助我們?cè)跍y(cè)試和學(xué)習(xí)過程中快速構(gòu)造SQL、XSS語句以及URL編碼，在代碼審計(jì)中便于構(gòu)造測(cè)試Payload。

該插件下載地址為https://addons.mozilla.org/en-US/firefox/addon/hackbar/。

訪問該插件的下載地址并點(diǎn)擊“添加到Firefox”進(jìn)行下載添加，如圖2-16所示。

圖2-16　添加插件

重啟瀏覽器就可以看到安裝好的HackBar，如圖2-17所示。

圖2-17　插件添加成功

在舊版本中添加插件的方法如圖2-18所示，可以在“設(shè)置→附加組件→擴(kuò)展”中搜索hackbar，選擇需要的舊版本，按照如圖2-19所示箭頭1、2、3指示的步驟操作即可。

圖2-18　舊版本插件選擇

圖2-19　舊版本插件添加

安裝完成后重啟火狐瀏覽器。

下面介紹一下HackBar這款插件的使用方法。首先介紹常用功能按鈕，如圖2-20所示。

●Load URL用于獲取URL地址，結(jié)果顯示在HackBar的Get編輯框里。

●Split URL用于將URL地址拆分，以便修改URL。

●Execute用于訪問HackBar編輯框的地址。

●Enable Post data是要提交的Post數(shù)據(jù)參數(shù)。

●Enable Referrer是要提交的Referrer數(shù)據(jù)參數(shù)。

圖2-20　HackBar功能簡(jiǎn)介

接下來看一下用Burp Suite抓取的post提交包，如圖2-21所示。2.3節(jié)中會(huì)詳細(xì)介紹Burp Suite這款抓包軟件。

圖2-21　post提交包中的HTTP字段

第一個(gè)箭頭指的是Referer^[1]數(shù)據(jù)，第二個(gè)箭頭指的是Post參數(shù)。

2.2.3　FoxyProxy安裝與使用

打開火狐瀏覽器，在“設(shè)置→附加組件→擴(kuò)展”中搜索FoxyProxy來安裝，如圖2-22所示，安裝完成后重啟就能使用FoxyProxy插件了。

重啟后點(diǎn)擊地址欄旁邊箭頭1所指的按鈕，可以設(shè)置代理，如圖2-23所示。點(diǎn)擊“新建代理服務(wù)器”或“編輯選中項(xiàng)目”后，點(diǎn)擊“代理服務(wù)器細(xì)節(jié)”進(jìn)行代理設(shè)置，如圖2-23中箭頭3所指，并且設(shè)置為Burp默認(rèn)的代理，IP為127.0.0.1，端口為8080，設(shè)置完點(diǎn)擊“確定”。

圖2-22　重啟瀏覽器使用FoxyProxy插件

圖2-23　服務(wù)器代理設(shè)置

點(diǎn)擊“常規(guī)”選項(xiàng)卡，可設(shè)置修改代理名稱、顏色和緩存功能，如圖2-24所示。

填寫信息后保存，并選中代理，這樣火狐瀏覽器的代理就設(shè)置成功了，如圖2-25所示。

在Burp Suite中設(shè)置同一端口后開啟數(shù)據(jù)包截取功能就可以正常進(jìn)行抓包了，如圖2-26所示。

圖2-24　設(shè)置代理名稱、顏色、緩存

圖2-25　火狐代理插件設(shè)置成功

圖2-26　Burp Suite抓包測(cè)試

[1] HTTP請(qǐng)求中的Referer是一個(gè)典型的拼寫錯(cuò)誤，歷史悠久，可以預(yù)見還會(huì)一直錯(cuò)下去。也許以后Referer會(huì)變成一個(gè)專有名詞也說不定。所以，一般涉及到讀取HTTP請(qǐng)求頭的場(chǎng)景，我們需要用Referer這種錯(cuò)誤拼寫；除此之外一般都要用Referrer這種正確的拼寫。