XSS es un tipo de vulnerabilidad muy comúnmente explotado que está muy extendido y es fácilmente detectable para XSS.
Un atacante puede inyectar fragmentos no confiables de JavaScript en su aplicación sin validación. Este JavaScript es ejecutado por la víctima que visita el sitio de destino.
Cross Site “Scripter” (también conocido como XSSer) es un marco automático para detectar, explotar y reportar vulnerabilidades de XSS en aplicaciones basadas en web.
Contiene varias opciones para tratar de evitar ciertos filtros y varias técnicas especiales de inyección de código.
Instalación XSSer XSS
XSSer se ejecuta en muchas plataformas. Requiere Python y las siguientes bibliotecas:
- python-pycurl - Python bindings to libcurl
- python-xmlbuilder - create xml/(x)html files - Python 2.x
- python-beautifulsoup - error-tolerant HTML parser for Python
- python-geoip - Python bindings for the GeoIP IP-to-country resolver library
Para instalar en sistemas basados en Debian: sudo apt-get instala python-pycurl python-xmlbuilder python-beautifulsoup python-geoip
Uso
Para enumerar todas las características del paquete XSSer "xsser -h"
root @ kali : ~ # xsser -h
Para lanzar un ataque de inyección simple. root @ kali : ~ # xsser -u “http://192.168.169.130/xss/example1.php?name=hacker”
Inyección de Dork, seleccionando "google" como motor de búsqueda: root @ kali : ~ # xsser –De “google” -d “search.php? q =”
Realizar múltiples inyecciones desde la URL, con carga útil automática, establecer una conexión inversa. xsser -u “http://192.168.169.130/xss/example1.php?name=hacker” –auto –reverse-check -s
Inyección de URL simple, usando GET, inyectando en Cookie y usando DOM shadow xsser -u “http://192.168.169.130/xss/example1.php?name=hacker” -g “/ path? vuln =” –Coo –Dom –Fp = ”vulnerablescript”
Parámetro de filtrado con heurísticas. root @ kali : ~ # xsser -u “http://192.168.169.130/xss/example1.php?name=hacker” –heuristic
Para iniciar la interfaz GUI root @ kali : ~ # xsser –gtk .También puedes usar el proxy TOR con XSSer.
Características clave
- Inyección con ambos métodos GET y POST.
- Incluye varios filtros y técnicas de bypass.
- Se puede utilizar tanto con la línea de comandos como con la GUI.
- Proporcionará estadísticas detalladas del ataque.
Defensas comunes contra XSS
- ¿En qué entrada confiamos?
- ¿Se adhiere a los patrones esperados?
- Nunca simplemente reflejar datos no confiables.
- Se aplica a los datos dentro de nuestra base de datos también.
- Codificación del contexto (Java / attribute / HTML / CSS).
