5 de febrero de 2013

Explotando vulnerabilidades XSS con XSSer

Para cada vulnerabilidad reportada existe una herramienta que nos permite automatizar los ataques, de tal forma que a los auditores de Seguridad les permite avanzar rápidamente con muchas de las pruebas que se realizan en las aplicaciones y los reportes finales.

XSS del inglés Cross-site scripting es una vulnerabilidad que permitiría a un posible atacante inyectar código JavaScript o en lenguaje de script a una aplicación web, dando la posibilidad de extraer información sensible de usuarios, robar credenciales de conexión, o realizar modificaciones en el DOM del documento.

Para la ardua tarea de identificar estas vulnerabilidades y luego explotarlas, estoy utilizando desde hace un tiempo una herramienta llamada XSSer que automatiza todos los Test, escrita en el lenguaje de programación Python, se maneja directamente desde la consola de comandos y tiene la posibilidad de un entorno visual un poco más amigable. Personalmente la consola va a seguir siendo el amigo fiel de todo SysAdmin y auditor de seguridad por la cantidad de herramientas disponibles que hoy encontramos.

XSSer cuenta con una gran cantidad de opciones, parámetros y payloads que podemos setear para obtener el máximo rendimiento, a pesar que podríamos caer frecuentemente en lo que se conocen como "Falsos Positivos" sin duda XSSer sigue siendo una excelente herramienta de apoyo en los test de intrusión.

Seguramente más adelante vamos a estar mostrando algunos ejemplos de como utilizar XSSer pero la documentación que se encuentra en su sitio oficial nos permite rápidamente realizar nuestras primeras pruebas.

Saludos!

Enlace | XSSer

Entradas populares