Sicurezza  »  Articoli  »  Software di sicurezza 

Introduzione

Tutti conoscono Firefox essenzialmente come un browser Web, con il suo nutrito "bagaglio" di estensioni e plug-in. Forse però non tutti sanno che, grazie agli strumenti con cui è stato costruito, Firefox può trasformarsi in un vero e proprio strumento di hacking per effettuare penetration test.

Firefox è basato su XUL (XML User Interface Language), un linguaggio XML-based utilizzato per lo sviluppo della GUI di Firefox. XUL somiglia un pò a DHTML (Dynamic HTML) ma, a differenza di quest'ultimo (nato essenzialmente per la realizzazione di pagine Web), consente di costruire vere e proprie applicazioni cross-platform e quindi facilmente portabili su tutti i sistemi operativi. Inoltre, mentre DHTML utilizza livelli, pagine e link, XUL si basa su oggetti già pronti come finestre, etichette e pulsanti, che in DHTML non sono immediatamente disponibili come primitive di sviluppo. Il layout delle applicazioni sviluppate con XUL, inoltre, può essere completamente personalizzato in modo da poterle rendere facilmente "brandizzabili" e localizzabili, il che è molto importante per poter incontrare le varie esigenze degli utenti finali. Last but not least, tali applicazioni possono essere eseguite sia in modalità offline che online.

Firefox come "contenitore" di applicazioni

Ogni pentester ha il suo bravo kit di strumenti tarati per compiere il proprio lavoro, come Live CD, free tools, Metasploit, script autoprodotti e quant'altro. Supponiamo però che il contesto in cui si va ad operare, come a volte succede, non consenta di poter installare altri software che non siano il solo browser. A quel punto cosa si fa? Proprio per ovviare a questo tipo di problemi è nato il progetto FireCAT (Firefox Catalog of Auditing exTensions).

FireCAT è essenzialmente una collezione di estensioni e plugin di Firefox, organizzati in sezioni. L'idea alla base del progetto è quella di raccogliere e organizzare le estensioni ritenute più utili ai fini dell'intera gestione del processo di security auditing & assessment. In figura è mostrata la schermata iniziale di FireCAT versione 2.0:

Figura 1. Schermata iniziale di FireCAT
(clic per ingrandire)

Per chi lo volesse, esiste anche una versione di FireCAT in formato mindmap. Le principali categorie in cui è suddiviso FireCAT sono:

• Information Gathering
• Proxies & Web Utilities
• Editors
• Network Utilities
• Misc
• IT Security Related
• Application Auditing

Altri articoli

Altre guide

Altre newsletter