La desinfección de las entradas es el proceso de limpieza de las entradas, por lo que los datos insertados no se utilizan para encontrar o explotar agujeros de seguridad en un sitio web o servidor.
Vulnerable Los sitios no están higienizados o están mal higienizados de manera incompleta. Es un indirecto ataque. La carga útil se envía indirectamente al víctima. La código malicioso es insertado en el sitio web por el atacante, y luego se convierte en parte de él. Siempre que el usuario (víctima) visite el página web, el código malicioso se mueve al navegador. Por lo tanto, el usuario no se da cuenta de que sucede nada.
Con XSS, un atacante puede:
- Manipular, destruir o incluso desfigurar un sitio web.
- Exponer datos confidenciales del usuario
- Capturar cookies de sesión autenticadas del usuario
- Cargar una página de suplantación de identidad
- Redirigir a los usuarios a un área maliciosa
XSS ha estado en el Top Ten de OWASP durante la última década. Más del 75% de la tela superficial es vulnerable a XSS.
Hay 4 tipos de XSS:
- XSS almacenado
- XSS reflejado
- XSS basado en DOM
- Ciego XSS
Al verificar XSS en un pentest, uno puede cansarse de encontrar la inyección. La mayoría de los pentesters usan herramientas XSS para hacer el trabajo. Automatizar el proceso no solo ahorra tiempo y esfuerzo, sino que, lo que es más importante, brinda resultados precisos.
Hoy discutiremos algunas de las herramientas que son gratuitas y útiles. También discutiremos cómo instalarlos y usarlos.
XSSer:
XSSer o cross-site scripter es un marco automático que ayuda a los usuarios a encontrar y aprovechar las vulnerabilidades XSS en los sitios web. Tiene una biblioteca preinstalada de alrededor de 1300 vulnerabilidades, lo que ayuda a evitar muchos WAF.
Veamos cómo podemos usarlo para encontrar vulnerabilidades XSS!
Instalación:
Necesitamos clonar xsser desde el siguiente repositorio de GitHub.
$ git clon https: // github.com / epsylon / xsser.git
Ahora, xsser está en nuestro sistema. Diríjase a la carpeta xsser y ejecute la configuración.py
$ cd xsserConfiguración de $ python3.py
Instalará todas las dependencias, que ya se han instalado e instalará xsser. Ahora es el momento de ejecutarlo.
Ejecute la GUI:
$ python3 xsser --gtkAparecería una ventana como esta:
Si eres un principiante, pasa por el asistente. Si es un profesional, le recomendaré configurar XSSer según sus propias necesidades a través de la pestaña de configuración.
Ejecutar en Terminal:
$ python3 xsser
Aquí hay un sitio que lo desafía a explotar XSS. Encontraremos algunas vulnerabilidades usando xsser. Le damos la URL de destino a xsser, y comenzará a buscar vulnerabilidades.
Una vez hecho esto, los resultados se guardan en un archivo. Aquí hay un XSSreport.crudo. Siempre puede volver para ver cuál de las cargas útiles funcionó. Dado que se trataba de un desafío de nivel principiante, la mayoría de las vulnerabilidades son ENCONTRÓ aquí.
XSSniper:
Cross-Site Sniper, también conocido como XSSniper, es otra herramienta de descubrimiento de xss con funcionalidades de escaneo masivo. Escanea el objetivo en busca de parámetros GET y luego inyecta una carga útil XSS en ellos.
Su capacidad para rastrear la URL de destino en busca de enlaces relativos se considera otra característica útil. Cada enlace encontrado se agrega a la cola de escaneo y se procesa, por lo que es más fácil probar un sitio web completo.
Al final, este método no es infalible, pero es una buena heurística para encontrar puntos de inyección en masa y probar estrategias de escape. Además, dado que no hay emulación de navegador, debe probar manualmente las inyecciones descubiertas contra las protecciones xss de varios navegadores.
Para instalar XSSniper:
$ git clon https: // github.com / gbrindisi / xsssniper.git
XSStrike:
Esta herramienta de detección de secuencias de comandos entre sitios está equipada con:
- 4 analizadores escritos a mano
- un generador de carga útil inteligente
- un potente motor de fuzzing
- un rastreador increíblemente rápido
Se ocupa del escaneo reflejado y DOM XSS.
Instalación:
$ cd XSStrike
$ ls
Requisitos de $ pip3 install -r.TXT
Uso:
Argumentos opcionales:
Escaneo de URL única:
$ python xsstrike.py -u http: // ejemplo.com / search.php?q = consultaEjemplo de rastreo:
$ python xsstrike.py -u "http: // ejemplo.com / página.php "--crawlCazador XSS:
Es un marco lanzado recientemente en este campo de vulnerabilidades XSS, con las ventajas de una fácil gestión, organización y monitorización. Por lo general, funciona manteniendo registros específicos a través de archivos HTML de páginas web. Para encontrar cualquier tipo de vulnerabilidades de secuencias de comandos entre sitios, incluido el XSS ciego (que, en general, a menudo se pasa por alto) como una ventaja sobre las herramientas XSS comunes.
Instalación:
$ sudo apt-get install git (si aún no está instalado)$ git clon https: // github.com / requiredprogrammer / xsshunter.git
Configuración:
- ejecute el script de configuración como:
PS ./ generate_config.py- ahora inicie la API como
$ sudo apt-get install python-virtualenv python-dev libpq-dev libffi-dev$ cd xsshunter / api /
$ virtualenv env
PS . env / bin / activar
Requisitos de $ pip install -r.TXT
PS ./ apiserver.py
Para usar el servidor GUI, debe seguir y ejecutar estos comandos:
$ cd xsshunter / gui /$ virtualenv env
PS .env / bin / activar
Requisitos de $ pip install -r.TXT
PS ./ guiserver.py
W3af:
Otra herramienta de prueba de vulnerabilidades de código abierto que utiliza principalmente JS para probar páginas web específicas en busca de vulnerabilidades. El principal requisito es configurar la herramienta de acuerdo con su demanda. Una vez hecho esto, hará su trabajo de manera eficiente e identificará las vulnerabilidades XSS. Es una herramienta basada en complementos que se divide principalmente en tres secciones:
- Core (para el funcionamiento básico y proporcionar bibliotecas para complementos)
- Interfaz de usuario
- Complementos
Instalación:
Para instalar w3af en su sistema Linux, simplemente siga los pasos a continuación:
Clonar el repositorio de GitHub.
$ sudo git clon https: // github.com / andresriancho / w3af.gitInstale la versión que desea usar.
> Si desea utilizar la versión GUI:
$ sudo ./ w3af_guiSi prefiere utilizar la versión de consola:
$ sudo ./ w3af_consoleAmbos requerirán la instalación de dependencias si aún no están instaladas.
Se crea un script en / tmp / script.sh, que instalará todas las dependencias por ti.
La versión GUI de w3af se proporciona de la siguiente manera:
Mientras tanto, la versión de consola es la herramienta de visualización de terminal tradicional (CLI).
Uso
1. Configurar objetivo
En destino, comando de ejecución de menú establecer destino TARGET_URL.
2. Configurar perfil de auditoría
W3af viene con un perfil que ya tiene complementos configurados correctamente para ejecutar una auditoría. Para usar el perfil, ejecute el comando, usar PROFILE_NAME.
3. Complemento de configuración
4. Configurar HTTP
5. Ejecutar auditoría
Para obtener más información, visite http: // w3af.org /:
Cesación:
Estas herramientas son solo una gota en el oceano ya que Internet está lleno de herramientas increíbles. También se pueden utilizar herramientas como Burp y webscarab para detectar XSS. Además, felicitaciones a la maravillosa comunidad de código abierto, que ofrece soluciones interesantes para cada problema nuevo y único.