Firefox est depuis toujours le navigateur préféré des développeurs, notamment grâce à son immense collection d'extensions en tout genre. Mais c'est aussi le navigateur préféré des pentesters et des utilisateurs avertis.

Voici donc rien que pour vous, une sélection des outils pour tester la sécurité de votre site mais aussi pour vous protéger sur la toile. Attention, quelques unes de ces extensions fonctionnent encore uniquement sur Firefox 3.x

Pour tester la sécurité de son site

  1. Si vous passez souvent par des proxy pour faire vos tests, adoptez le petit FoxyProxy qui vous permettra de jongler très facilement entre tous vos proxy.
  2. RefSpoof comme son nom l'indique, permet de spoofer l'URL du Referer. Pratique pour tromper la vigilance d'un site ou faire croire n'importe quoi à son webmaster.
  3. Si vous avez besoin de chiffrer ou hasher des chaines de caractères en MD5 ou autre, FireEncrypter est un assistant très pratique à avoir sous la main.
  4. Domain Checker vous permettra d'en apprendre un maximum sur le serveur et le nom de domaine du site que vous pentestez.
  5. Pour tester des injections SQL et les failles XSS, je vous recommande vivement la HackBar qui propose une barre d'outils tout en un pour tester la sécurité de vos sites.
  6. GroundSpeed est capable de vous assister dans la modification live de formulaires visibles sur les sites web.
  7. Si vous cherchez des exemples de XSS, l'extension XSSed Search ajoutera dans le champs rechercher de Firefox, tous les moteurs de recherches de XSS disponibles.
  8. Dans le même genre, SecurityFocus Search vous permettra de rechercher directement des vulnérabilités dans les logiciels du marché.
  9. Très pratique, Chickenfoot est une extention qui permet d'exécuter des macros javascript dans votre Firefox afin d'automatiser certaines tâches, ou en faire faire d'autres aux sites que vous visitez.
  10. Pour reverser des chaines MD5, rien de mieux que CryptoFox.
  11. SQLInjectMe vous permettra de tester vos injections SQL très facilement.
  12. XSS-Me reprend le principe de SQLInjectMe mais cette fois pour les failles XSS.
  13. Tamperdata permet de voir et de modifier les entêtes HTTP / HTTPS et de tester la sécurité des applications web en modifiant les paramètres reçus en POST.
  14. Naviguer dans des séquences d'URL en incrémentant automatiquement les chiffres d'un paramètre avec URL Flipper.
  15. Firesheep transformera votre navigateur en sniffeur. Chaque fois qu'un utilisateur sur le même réseau que vous se connectera à un site sans passer par le HTTPS, vous le saurez et vous pourrez même vous authentifier avec son compte.
  16. User Agent Proxy Switcher permet de changer facilement de "user agent", c'est à dire d'identifiant Navigateur et ainsi faire croire à certains serveur que vous surfez à partir d'un iPhone ou que vous êtes le bot de Google.
  17. ShowIP est une petite extension Firefox qui permet de géolocaliser le serveur sur lequel est hébergé le site que vous êtes en train de visiter.
  18. Un deobfuscator de javascript à toujours avoir sous la main.
  19. Firebug est l'outil qu'on ne présente plus mais qui permet de se lancer dans de grandes analyse du code source des pages web, CSS et javascript inclus.
  20. Modify Headers permet de modifier ou de bloquer les requêtes HTTP envoyées au serveur hébergeant un site.
  21. Cookie Manager Plus vous permettra de modifier, supprimer ou forger de nouveaux cookies.
  22. FlashBug est capable de vous aider dans du debugging de fichiers flash. Pratique pour trouver les failles.

Pour se protéger

  1. NoScript permet de bloquer automatiquement les Javascript, Java, Flash et autres plugins potentiellement malveillants.
  2. HTTPSEverywhere est une extension proposée par l'EFF (Electronic Frontier Foundation) qui permet de forcer le passage en https des sites internet que vous visitez.
  3. Les moteurs de recherche comme Google peuvent établir un profil très précis de vous, simplement en analysant vos recherches. TrackMeNot est l'extension idéale pour éviter de se faire profiler et perturber cette collecte de données avec de fausses requêtes.
  4. FoxTor et TorButton permettent de se connecter au réseau chiffré Tor via Firefox pour surfer de manière anonyme.
  5. Perspectives permet d'empêcher les attaques de type Man-in-the-middle utilisant des certificats auto-signé ou piratés lors d'une connexion en https à une page web.
  6. Gmail S/MIME permet de chiffrer vos emails dans Gmail très simplement.
  7. Pour éviter les keyloggers, KeyScrambler dans sa version gratuit propose de chiffrer dans Firefox tout ce que vous tapez sur votre clavier. Pratique pour éviter les interceptions de mot de passe.
  8. Firekeeper est un IDS (Intrusion Detection System) mais aussi un outil de prévention pour Firefox. Il detecte, bloque et prévient l'utilisateur au sujet des sites dangereux qui pourraient vous infecter.
  9. Trashmailnet vous permettra de vous créer une adresse email jetable en un clic via Firefox.
  10. SSL Blacklist permet de détecter les certificats faibles ou expirés et contrôle si le certificat fait appel à l’algorithme vulnérable MD5.
  11. WOT est une extension communautaire qui permet d'attribuer un niveau de confiance à un site internet. En retour, si le site est malveillant, vous serez averti avant de pouvoir vous y connecter. Un must !
  12. Ghostery vous propose de bloquer tous les scripts capables de vous tracer, y compris les scripts d'analytics, de Facebook ou de régies publicitaires.

J'en ai certainement oublié, donc si vous en avez d'autres en stock qui font d'autres trucs, n'hésitez pas !