Menu

XSSploit-es




Regresar  English

XSSploit

Fase(s):

Principal: Explotación.
Secundaria: N/A.

Descripción:

Herramienta especializada en la identificación de vulnerabilidades Cross Site Scripting. Además genera payload para realizar la explotación de las vulnerabilidades que logra identificar.

Objetivo:

  • Identificar vulnerabilidades de Cross Site Scripting y apoyar en la explotación de las vulnerabilidades identificadas.

Funcionalidades:

Tecnologías soportadas: Aplicaciones Web (HTTP/HTTPS).

Modo de ejecución: Activo.

Identificar vulnerabilidades de Cross Site Scripting y apoyar en la explotación de las vulnerabilidades identificadas.

  • Genera listado de URL que componen la aplicación Web.
  • Genera listado de formularios identificados dentro de las URL, por medio de un spidering.
  • Realiza un análisis en búsqueda de vulnerabilidades Cross -Site Scripting únicamente probando los parámetros de tipo texto (text) de los formularios identificados durante la ejecución del spidering.
  • Una vez que se realizó el análisis, genera una lista de las vulnerabilidades identificadas de Cross Site Scripting proporcionando la siguiente información:
    • Si una vulnerabilidad identificada es posible explotarla.
    • URL.
    • Tipo de Cross Site Scripting (persistente o no persistente)
    • Método HTTP utilizado para identificar la vulnerabilidad (GET/POST).
    • Nombre del parámetro vulnerable.
    • Contexto.
  • Genera payload para realizar la explotación de las vulnerabilidades identificadas con diferentes vectores de ataque.
  • Soporte para autenticación de tipo básica.
  • Permite generar nuevas expresiones regulares y personalizar la ejecución del spidering sobre la aplicación Web, por medio un archivo de configuración.

Reportes:
Resultados exportables:

  • Reporte en formato XML personalizable, permite incluir o eliminar las siguiente secciones:
    • Páginas identificadas en el spidering.
    • Formularios y parámetros identificados.
    • Vulnerabilidades Cross Site Scripting identificadas y explotables.

Uso básico:

Realizar un escaneo y explotación de vulnerabilidades Cross Site Scripting en una aplicación Web. Inicie la interfaz gráfica.

La interfaz gráfica se compone por las siguientes pestañas: Scan, XSS, Exploit, Report.

En la pestaña Scan introduzca la URL de la aplicación Web y presione el botón Spider. Se genera una lista de URL identificadas por la herramienta, estas serán mostradas así como una lista de los formularios y parámetros en el panel derecho.

Presione el botón Analyse, que se encuentra debajo de la lista de formularios identificados, para comenzar con la búsqueda de vulnerabilidades Cross Site Scripting. Una vez finalizado el proceso de análisis, en la barra de estado se muestra el número de vulnerabilidades encontradas y número de vulnerabilidades que son explotables.

La pestaña XSS es informativa y muestra detalles de las vulnerabilidades identificadas.

En la pestaña Exploit se realiza la configuración del payload a utilizar para realizar la explotación de las vulnerabilidades identificadas. Elija una vulnerabilidad de la lista Exploitable XSS así como el vector de ataque.

Presione el botón Generate exploid code, se generará el payload para explotar la vulnerabilidad. En caso de que el método del formulario, donde se encuentra el parámetro vulnerable sea GET, también se generará la URL con el payload incluido.

Finalmente en la pestaña Report seleccione las opciones con la información que se requiere guardar y presione el botón Save; nombre el reporte y elija la ubicación donde será guardado.

Referencias:

Liga: http://www.scrt.ch/en/attack/downloads/xssploit
Autor (es): SCRT Information Security
Contacto: info [at] scrt.ch
Licencia: GNU GENERAL PUBLIC LICENSE, Versión 2

MongoDB Logo MongoDB