Recent changes to XSSploit-es

XSSploit-es modified by Maguey

Maguey — Wed, 11 Dec 2013 17:37:02 -0000

--- v3
+++ v4
@@ -1,6 +1,9 @@
 

-English
+[[img src=https://sourceforge.net/p/maguey/wiki/Home/attachment/LogoMaguey.png height=25% width=25% style=float:right]]
+


+
+Regresar  English

 XSSploit

@@ -84,6 +87,6 @@

 Referencias:
 Liga: http://www.scrt.ch/en/attack/downloads/xssploit 
-Autor (es): SCRT Information Securityn
+Autor (es): SCRT Information Security
 Contacto: info \[at\] scrt.ch
 Licencia: GNU GENERAL PUBLIC LICENSE, Versión 2

XSSploit-es modified by Maguey

Maguey — Wed, 04 Dec 2013 03:50:51 -0000

--- v2
+++ v3
@@ -64,34 +64,26 @@
 

 Uso básico:
-Realizar un escaneo a una aplicación Web. El siguiente comando inicia el escaneo a una aplicación Web.
+Realizar un escaneo y explotación de vulnerabilidades Cross Site Scripting en una aplicación Web. Inicie la interfaz gráfica.

-
-./perl gamja.pl -v [URL]
-


+La interfaz gráfica se compone por las siguientes  pestañas: Scan, XSS, Exploit, Report.  

-
-Dónde:
-

-URL: URL de la aplicación Web.
-
-v: Modo detallado.
-
-
+En la pestaña Scan introduzca la URL de la aplicación Web y presione el botón Spider. Se genera una lista de URL identificadas por la herramienta, estas serán mostradas así como una lista de los formularios y parámetros en el panel derecho.

-La herramienta comienza a realizar el escaneo corriendo el proceso en segundo plano. Cuando la herramienta finaliza mostrara el mensaje de completado (+Done). 
+Presione el botón Analyse, que se encuentra debajo de la lista de formularios identificados, para comenzar con la búsqueda de vulnerabilidades Cross Site Scripting. Una vez finalizado el proceso de análisis, en la barra de estado se muestra el número de vulnerabilidades encontradas y número de vulnerabilidades que son explotables.

-
-http://midominio/miaplicacion/.

-[1]+  Done gedit gamja.pl

-


+La pestaña XSS es informativa y muestra detalles de las vulnerabilidades identificadas.

-Ejemplo de reporte:
+En la pestaña Exploit se realiza la configuración del payload a utilizar para realizar la explotación de las vulnerabilidades identificadas. Elija una vulnerabilidad de la lista Exploitable XSS así como el vector de ataque.

+Presione el botón Generate exploid code, se generará el payload para explotar la vulnerabilidad. En caso de que el método del formulario, donde se encuentra el parámetro vulnerable sea GET, también se generará la URL con el payload incluido.
+
+Finalmente en la pestaña Report seleccione las opciones con la información que se requiere guardar y presione el botón Save; nombre el reporte y elija la ubicación donde será guardado.

 

 Referencias:
-Liga:  http://sourceforge.net/projects/gamja/
-Autor (es): Sang-hun Jeon
-Contacto: p4ssion \[at\] gmail.com
-Licencia: GNU General Public License version 2.0 (GPLv2)
+Liga: http://www.scrt.ch/en/attack/downloads/xssploit 
+Autor (es): SCRT Information Securityn
+Contacto: info \[at\] scrt.ch
+Licencia: GNU GENERAL PUBLIC LICENSE, Versión 2

XSSploit-es modified by Maguey

Maguey — Wed, 04 Dec 2013 03:46:01 -0000

--- v1
+++ v2
@@ -52,7 +52,12 @@
 Reportes:

 Resultados exportables:  ✔
 
-Genera un reporte en formato HTML con un resumen de los resultados obtenidos.
+
Reporte en formato XML personalizable, permite incluir o eliminar las siguiente secciones:
+
+Páginas identificadas en el spidering.
+
Formularios y parámetros identificados.
+
Vulnerabilidades Cross Site Scripting identificadas y explotables.
+

XSSploit-es modified by Maguey

Maguey — Wed, 04 Dec 2013 03:44:22 -0000

English

XSSploit

Fase(s):

Principal: Explotación.
Secundaria: N/A.

Descripción:

Herramienta especializada en la identificación de vulnerabilidades Cross Site Scripting. Además genera payload para realizar la explotación de las vulnerabilidades que logra identificar.

Objetivo:

Identificar vulnerabilidades de Cross Site Scripting y apoyar en la explotación de las vulnerabilidades identificadas.

Funcionalidades:

Tecnologías soportadas: Aplicaciones Web (HTTP/HTTPS).

Modo de ejecución: Activo.

Identificar vulnerabilidades de Cross Site Scripting y apoyar en la explotación de las vulnerabilidades identificadas.

Genera listado de URL que componen la aplicación Web.
Genera listado de formularios identificados dentro de las URL, por medio de un spidering.
Realiza un análisis en búsqueda de vulnerabilidades Cross -Site Scripting únicamente probando los parámetros de tipo texto (text) de los formularios identificados durante la ejecución del spidering.
Una vez que se realizó el análisis, genera una lista de las vulnerabilidades identificadas de Cross Site Scripting proporcionando la siguiente información:
- Si una vulnerabilidad identificada es posible explotarla.
- URL.
- Tipo de Cross Site Scripting (persistente o no persistente)
- Método HTTP utilizado para identificar la vulnerabilidad (GET/POST).
- Nombre del parámetro vulnerable.
- Contexto.
Genera payload para realizar la explotación de las vulnerabilidades identificadas con diferentes vectores de ataque.
Soporte para autenticación de tipo básica.
Permite generar nuevas expresiones regulares y personalizar la ejecución del spidering sobre la aplicación Web, por medio un archivo de configuración.

Reportes:
Resultados exportables: ✔

Genera un reporte en formato HTML con un resumen de los resultados obtenidos.

Uso básico:

Realizar un escaneo a una aplicación Web. El siguiente comando inicia el escaneo a una aplicación Web.

./perl gamja.pl -v [URL]

Dónde:

URL: URL de la aplicación Web.
-v: Modo detallado.

La herramienta comienza a realizar el escaneo corriendo el proceso en segundo plano. Cuando la herramienta finaliza mostrara el mensaje de completado (+Done).

http://midominio/miaplicacion/.
[1]+ Done gedit gamja.pl

Ejemplo de reporte:

Referencias:

Liga: http://sourceforge.net/projects/gamja/
Autor (es): Sang-hun Jeon
Contacto: p4ssion [at] gmail.com
Licencia: GNU General Public License version 2.0 (GPLv2)