Agencias / InsurgentePress, Ciudad de México.- Mantra es una colección de más de 40 herramientas gratuitas y libres integradas en un Navegador Web. Es decir, es un navegador web, gratis y de código abierto, diseñado para pruebas de seguridad. Se trata de un proyecto amparado por OWASP (Open Web Application Security Project), y liderado por Abhi M Balakrishnan y Yashartha Chaturvedi.
Se trata de una herramienta muy útil para penetration testers, desarrolladores de aplicaciones web, profesionales de la seguridad de la información o incluso administradores de sistemas, dada la variedad de utilidades que están incluidas. Nos va a permitir gestionar y modificar la información de las cookies, utilizarlo en una auditoria de seguridad durante la etapa de fingerprinting para recopilar información, interceptar las peticiones GET/POST, modificar el campo User-Agent del navegador o conectarnos a nuestras máquinas por SSH o FTP, entre otras cosas.
Mantra está desarrollado a partir de Firefox, modificando la apariencia original de este, y añadiéndole una serie de plugins que nos van a permitir:
- Manipular cabeceras HTTP
- Fingerprinting WEB (similar a Wappalyzer)
- Interceptación de peticiones GET y POST
- Manipular inputs de entrada
- Sustitución del User-Agent
- Capacidad para operar con Proxys
- Editar cookies del navegador (cookies manager +)
- Comprobaciones (básicas) de inyecciones
La instalación en windows es bastante sencilla. Al hacer doble click en el instalador vamos a poder elegir el idioma en el que queremos que se instale, y la ruta dónde queremos instalarlo. En esa ruta nos va a crear una carpeta con la versión ‘portable’ de mantra.
Mantra pone a nuestra disposición una selección de las mejores extensiones de Firefox para pruebas de seguridad web, en un sentido muy amplio. Nos va a permitir modificar cabeceras, manipular cadenas de entrada, reemplazar peticiones GET y POST, editar cookies, utilizar diferentes tipos de proxy y obtener mucha información de los sitios web que probamos, de una manera más rápida y sencilla.
Al abrir el navegador Mantra y navegar a cualquier sitio web empezaremos a obtener información interesante. Esto es por que aparecerá un menú a la derecha de la barra de navegación y nos está mostrando información interesante sobre las tecnologías usadas en esta web: Google Analytics, comScore analytics, Backbone.js, Chartbeat, jQuery, Modernizr, RequireJS, Underscore.js, y la ubicación del servidor.
Hackbar es una herramienta creada por Johan Adriaans y Pedro Laguna para facilitar ciertas pruebas de inyección de código que requieren saltarse filtros de codificación. Entre otras cosas, este plugin te va a permitir codificar y decodificar diferentes tipos de cifrado.
Foxy Proxy es un plugin de tipo proxy para Firefox. Proporciona una configuración bastante más completa que la del propio navegador por defecto, ampliándola por ejemplo para generar listas blancas/negras, o incluso permitiendo incorporar patrones de direcciones con expresiones regulares, asteriscos, etc. Lo habitual será configurar Foxy Proxy de manera que nos permita, por ejemplo, simular una ubicación diferente de la nuestra. Otro proxy incluido con Mantra es Proxy Tool, un potente proxy orientado a facilitar nuestro anonimato en internet, con rotación automática de proxys.
Dicho todo lo anterior, resumiría los aspectos positivos en que Mantra pone a nuestra disposición un montón de herramientas muy útiles para determinadas pruebas sobre aplicaciones y sitios web, sin necesidad de realizar nosotros esa búsqueda de herramientas, y sin tener que instalarlas.
Otro aspecto interesante de Mantra está en su sección de marcadores, que tras su instalación ya contiene un montón de recursos muy útiles sobre revistas de hacking, metodologías, OSINT, y otros enlaces interesantes relacionados con la seguridad web.
El principal problema de Mantra es que el proyecto está bastante parado. Además de esto, está basado en una versión de Firefox que podríamos considerar casi obsoleta y, aunque nos da la opción de actualizar, esto acaba generando un error que hace que deje de funcionar.
Una alternativa podría ser instalar todos estos plugins, o al menos los que necesitemos, en una versión actual de Firefox.
Existe una versión de Mantra sobre Chrome, sólo disponible para Windows, y está en una fase de desarrollo muy inicial. Dicho esto, si queremos una “alternativa” a Mantra, pero en Chrome, podemos instalar algunas de estas extensiones, o similares, disponibles para este navegador.
En la página de descargas de Mantra encontraremos versiones para Windows, Linux y Mac.