Tool: XSSer “The Mosquito”

Hoy me gustaría compartir con vosotros una aplicación que he descubierto al revisar las ponencias de la próxima RootedCON.

La herramienta en cuestión es XSSer, un Framework que detecta, explota e informa de vulnerabilidades XSS en aplicaciones Web. Supongo que las vulnerabilidades XSS no son desconocidas para nuestros lectores, aunque si tienen alguna duda pueden visitar esta entrada para refrescar conceptos.

Como comenta el propio autor en la web del proyecto, contiene diversas opciones para evadir ciertos filtros y diferentes técnicas de inyección de código.

Para empezar a usar la herramienta, basta con descargar la última versión del repositorio:

$ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser

Una vez realizado esto, podemos ejecutarlo de dos formas distintas, desde consola o mediante su interfaz:

$ ./xsser [Opciones]
$ ./xsser --gtk

Un ejemplo de uso sería el siguiente:

$ ./xsser -u http://host.com --proxy http://127.0.0.1:8118 --auto --Hex --verbose --save

En este caso, analizaríamos la web host.com a través de Tor. Además utilizaríamos diferentes payloads codificados en hexadecimal. El resultado que obtendríamos sería detallado y estaría guardado en el archivo XSSlist.dat

Para disfrutar de todas las opciones, ejecutad ./xsser –help y obtendréis una larga lista de opciones para auditar XSS en aplicaciones web.

Una vez mostrado el funcionamiento básico de la herramienta, os animamos a que la probéis y comentéis como os ha funcionado. Y si sois de los afortunados que tienen entrada para la próxima Rooted, podréis comentar con el autor vuestras dudas, sugerencias o felicitaciones.

P.D: Nos vemos en Madrid el 1, 2 y 3 de Marzo.

Comments

  1. David Lladró says

    Por cierto, hace un par de dias, el autor de esta herramienta generó diferentes reacciones en Twitter al contar en esta entrevista: http://xavier-vidal.blogspot.com/2012/01/entrevista-lord-epsylon-integrant.html que había participado en los ataques que anonymous realizó contra algunas webs.

  2. https://twitter.com/#!/xavier_vidal/status/164104218268012544

    «Ante conclusiones malintencionadas de la entrevista a @lord_epsylon aclaro: en ella nunca dijo haber participado en operaciones de Anonymous»

    Gracias por la aclaración, anonops.