Hoy me gustaría compartir con vosotros una aplicación que he descubierto al revisar las ponencias de la próxima RootedCON.

La herramienta en cuestión es XSSer, un Framework que detecta, explota e informa de vulnerabilidades XSS en aplicaciones Web. Supongo que las vulnerabilidades XSS no son desconocidas para nuestros lectores, aunque si tienen alguna duda pueden visitar esta entrada para refrescar conceptos ^[1].

Como comenta el propio autor en la web del proyecto, contiene diversas opciones para evadir ciertos filtros y diferentes técnicas de inyección de código.

Para empezar a usar la herramienta, basta con descargar la última versión del repositorio:

$ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser

Una vez realizado esto, podemos ejecutarlo de dos formas distintas, desde consola o mediante su interfaz:

$ ./xsser [Opciones]
$ ./xsser --gtk

Un ejemplo de uso sería el siguiente:

$ ./xsser -u http://host.com --proxy http://127.0.0.1:8118 --auto --Hex --verbose --save

En este caso, analizaríamos la web host.com a través de Tor. Además utilizaríamos diferentes payloads codificados en hexadecimal. El resultado que obtendríamos sería detallado y estaría guardado en el archivo XSSlist.dat

Para disfrutar de todas las opciones, ejecutad ./xsser –help y obtendréis una larga lista de opciones para auditar XSS en aplicaciones web.

Una vez mostrado el funcionamiento básico de la herramienta, os animamos a que la probéis y comentéis como os ha funcionado. Y si sois de los afortunados que tienen entrada para la próxima Rooted, podréis comentar con el autor vuestras dudas, sugerencias o felicitaciones.

P.D: Nos vemos en Madrid el 1, 2 y 3 de Marzo.