Pentest con BruteXSS
En esta oportunidad les presento una herramienta que sin dudas nos será de gran apoyo a la hora del Pen-Test de nuestros Desarrollos para descubrir fallos del tipo Cross-site_scripting , Si bien desde los inicios de internet esta vulnerabilidad ha amenazado nuestros sistemas para alterar su normal funcionamiento, algunos ejemplos son la Inyección de parámetros JavaScript, VbScript, Secuestro de Sesiones , vulnerabilidades en las aplicaciones web y navegadores.
El siguiente Ejercicio muestra como se puede explotar dicha vulnerabilidad con un script desarrollado en Python llamado BruteXSS, codificado por Shawar Khan y su descarga se puede encontrar en Github, en el siguiente enlace; BruteXSS.
Una vez descargado el script , abrimos una Terminal y nos posicionamos en la carpeta para dar ejecución a dicha Herramienta.
1- Script BruteXSS.
Existen Dos Métodos para ejecutar el Test : Peticiones Post y Get.
Empleando el Método Post:
COMMAND: python brutexss.py
METHOD: p
URL: http://www.site.com/file.php
POST DATA: parameter=value¶meter1=value1
WORDLIST: wordlist.txt
2-Resultados Analisis Metodo Post No Vulnerables.
Empleando el Método Get:
COMMAND: python brutexss.py
METHOD: g
URL: http://www.site.com/?parameter=value
WORDLIST: wordlist.txt
3-Resultados Análisis Método GET No Vulnerables.
En Conclusión la herramienta antes presentada nos será de gran utilidad a la hora de testear nuestros sistemas , para así poder tomar la acción de recuperarse de dicho fallo , ya sea con técnicas de desarrollo seguro y también estar conscientes de la presencia de dicha vulnerabilidad.
Saludos.
Comentarios
Publicar un comentario