Jump to content
Gecko

[RST] Microbe

Recommended Posts

Vreau sa va prezint ultimul meu proiect: Microbe.

Este o extensie Chrome ce reuneste o mare parte din tool-urile folositoare celor ce incearca sa testeze securitatea unei aplicatii Web.

Link in Chrome Web Store: Please login or register to see this link.

Ca sa o accesati, dupa ce ai instalat-o, dati click dreapta pe o pagina > Inspect Element si va aparea Microbe printre taburile din DevTools.

Preview:

Please login or register to see this link.

Ce puteti face, pe sectiuni:

Current Request:

  • Puteti modifica request-ul curent (URL-ul, POST data si request headers - user agent, referer si ce mai e pe acolo);
  • Puteti adauga headere noi, custom;
  • In campul "GET" puteti coda/decoda o selectie din text clar in mai mutle ciphere si puteti crypta un text in MD5, SHA1 sau SHA256, plus alte optiuni pe bara de sus;
  • Puteti folosi shortcodes pentru a simplifica o sintaxa de SQL injection:
  • - 1~7,@@version,9~15 se va transforma la rulare/executare in 1,2,3,4,5,6,7,@@version,9,10,11,12,13,14,15
  • - hex`string` se va transforma in 0x737472696e67
  • - mychar`string` (MySQL CHAR()) se va transforma in CHAR(115,116,114,105,110,103)
  • - mschar`string` (MSSQL CHAR()) se va transforma in (CHAR(115)+CHAR(116)+CHAR(114)+CHAR(105)+CHAR(110)+CHAR(103))
  • - ochar`string` (Oracle CHR()) se va transforma in (CHR(115)||CHR(116)||CHR(114)||CHR(105)||CHR(110)||CHR(103))
  • - mai puteti sugera si vor mai fi adaugate si altele.

HTTP Headers:

Aici puteti vedea toate requesturile, ca in tabul Network, dar diferenta este ca de aici le puteti edita si retrimite.

  • Puteti modifica toate headerele de la request headers si POST data;
  • Puteti incarca continutul unui request la Current Request pentru a-l modifica mai usor;
  • Puteti filtra headerele primite, ca la Network.

Cookie Manager:

  • Puteti vizualiza orice cookie pe baza de domeniu si alte criterii de cautare;
  • Puteti edita orice cookie;
  • La timestamp daca puneti "session" sau daca timestampul nou nu e bun, va fi session. Timestampul e de forma: HH:ii:ss YYYY/mm/dd, ex: 10:23:11 2014/02/02
  • Puteti sterge orice cookie sau le puteti sterge pe toate;
  • Puteti adauga un nou cookie.

Form Handler:

  • Puteti vizualiza toate formularele gasite in pagina inspectata;
  • Puteti edita si executa orice form gasit;
  • Puteti adauga campuri noi.

Krypton:

Varianta Krypton online, de pe Please login or register to see this link. , adaptata pentru aceasta extensie. Puteti cripta un text in ce vedeti.

Proxy Manager:

Nu cred ca necesita o explicatie, e un simplu proxy manager.

Overrides & Disablers:

  • Pentru pagina curenta:
  • Puteti da disable la toate proprietatile browser-ului: Images, JavaScript, Popups, Plugins, Cookies si Notifications;
  • Puteti elimina CSS-ul.
  • Pentru toate paginile:
  • Puteti dezactiva history, adica nicio pagina cautata nu va mai intra in history. Aceasta optiune nu va sterge history, ci doar va avea grija sa nu mai intre nimic in continuare daca e debifata.
  • Puteti seta un User Agent general.

Si probabil mai sunt features care mi-au scapat acum.

Exista buguri, dat fiind faptul ca am renuntat la beta testers. Va rog sa le raportati aici sau printr-un PM. Le voi rezolva cat de repede pot.

Daca va place, puteti face o donatie ca sa-mi cumpar alti nervi.

// Edit: Mar 22, 2014:

A suferit si primul update. A durat atat pentru ca a trecut printr-o perioada de review "manual" de cineva din staff-ul Google Web Store.

Am rezolvat unele buguri si am adaugat noi functionalitati.

Changelog pentru versiunea 1.0 oficiala (prima a fost 0.1337):

  • [iMPROVEMENT] Cuvantul "to", din toolbar-ul de la Current Request, a devenit buton pentru a putea inversa mai usor cipherele;
  • [ADDED] Toate butoanele de sus au un shortcut atribuit: ALT+<litera subliniata in buton>;
  • [ADDED] CTRL+ENTER pentru Execute, pe langa cea veche, ALT+X;
  • [FIX] Butonul "Resend Modified Headers" de la HTTP Headers;
  • [FIX] POST Data de la Current Request, problema de double URL encoding;
  • [FIX] Problema Krypton la new lines;
  • [iMPROVEMENT] Link-ul curent este preluat mai eficient;
  • [iMPROVEMENT] Acum se executa normal si link-urile ce contin caracterul "#";
  • [ADDED] Prepared queries;
  • [ADDED] "Replacers" de la Current Request, puteti face modificari rapid in URL-ul vostru, gen sa inlocuiti spatiile sau orice altceva;
  • [ADDED] "Retriever" de la Current Request, Returneaza linii din sursa paginii pe baza patternului vostru. Foarte util daca vreti sa vedeti rapid erori: introduceti: ".*SQL.*", de exemplu;
  • [FIX] Form Handler bug;
  • [ADDED] Mai multe shortcodes (base64`string`, rot13`string`, ascii`string` etc);
  • [iMPROVEMENT] Toolbar-ul de la Current Request + functionalitatea de history functioneaza acum si pe campul POST Data de la Current Request.

Edited by Gecko
  • Upvote 3
  • Downvote 1

Share this post


Link to post
Share on other sites

Daca facem o donatie sa-ti iei alti nervi , faci si pentru firefox extensie ?

Share this post


Link to post
Share on other sites

Am uitat sa precizez ca exista si shortcut-uri pentru cele trei butoane de Load, Split si Execute. Sunt la fel ca la HackBar:

ALT + A = Load

ALT + S = Split

ALT + X = Execute

Si inca ceva, textarea de la GET are history (CTRL Z, CTRL Y) scris de mine, de aia functioneaza cam ciudat.

Edited by Gecko

Share this post


Link to post
Share on other sites

A suferit si primul update. A durat atat pentru ca a trecut printr-o perioada de review "manual" de cineva din staff-ul Google Web Store.

Am rezolvat unele buguri si am adaugat noi functionalitati.

Changelog pentru versiunea 1.0 oficiala (prima a fost 0.1337):

  • [iMPROVEMENT] Cuvantul "to", din toolbar-ul de la Current Request, a devenit buton pentru a putea inversa mai usor cipherele;
  • [iMPROVEMENT] Toate butoanele de sus au un shortcut atribuit: ALT+<litera subliniata in buton>;
  • [iMPROVEMENT] CTRL+ENTER pentru Execute, pe langa cea veche, ALT+X;
  • [FIX] Butonul "Resend Modified Headers" de la HTTP Headers;
  • [FIX] POST Data de la Current Request, problema de double URL encoding;
  • [FIX] Problema Krypton la new lines;
  • [iMPROVEMENT] Link-ul curent este preluat mai eficient;
  • [iMPROVEMENT] Acum se executa normal si link-urile ce contin caracterul "#";
  • [ADDED] Prepared queries;
  • [ADDED] "Replacers" de la Current Request, puteti face modificari rapid in URL-ul vostru, gen sa inlocuiti spatiile sau orice altceva;
  • [ADDED] "Retriever" de la Current Request, Returneaza linii din sursa paginii pe baza patternului vostru. Foarte util daca vreti sa vedeti rapid erori: introduceti: ".*SQL.*", de exemplu;
  • [FIX] Form Handler bug;
  • [ADDED] Mai multe shortcodes (base64`string`, rot13`string`, ascii`string` etc);
  • [iMPROVEMENT] Toolbar-ul de la Current Request + functionalitatea de history functioneaza acum si pe campul POST Data de la Current Request.

  • Upvote 1

Share this post


Link to post
Share on other sites

v1.2.0

Inca un update pentru a schimba un pic interfata si a rezvolva cateva bug-uri.

Changelog aici: Please login or register to see this link.

Update-ul se va aplica automat in urmatoarea ora.

Share this post


Link to post
Share on other sites

Breaking News

 

Au implementat un bot in Chrome Web Store care da remove la toate extensiile cu cod aparent obfuscat / malicious (asta inseamna in viziunea lor: minificat sau pur si simplu prea mult -- intr-una din extensii aveam cod compilat de webpack si mi-au dat-o jos ca fisierele generate erau de 50-80k linii). Ideea principala e sa scape de extensiile care injecteaza adware si malware, dar in realitate, se caca pur si simplu pe munca oamenilor. La cei numai 400 de useri pe care-i aveam, cred ca e irelevant sa mentionez ca nu aveam asa ceva in sursa, iar scanarea lor si procesul de a o aduce inapoi in store e de tot cacatul.

 

In plus, nu au setat niciun fel de regula clara care sa precizeze ce e acceptat si ce nu, pur si simplu daca vrei sa rezolvi situatia trebuie sa "rezolvi" ceva ce nu vezi, orbeste, si apoi sa tot dai submit la noi versiuni in sperata ca ti-o accepta din nou, numai ca e o limita si aici, iar daca o depasesti, ii da remove de tot.

 

Nu am sa ma complic sa incerc sa o mai readuc in store si nici nu e singura pe care mi-au dat-o jos. Muie Google.

  • Like 1
  • Upvote 8

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

×