Pentest con BruteXSS

                       
                 En esta oportunidad les presento una herramienta que sin dudas nos será de gran apoyo a la hora del Pen-Test de nuestros Desarrollos para descubrir fallos del tipo Cross-site_scripting , Si bien desde los inicios de internet esta vulnerabilidad ha amenazado nuestros sistemas para alterar su normal funcionamiento, algunos ejemplos son la Inyección de parámetros JavaScript, VbScript, Secuestro de Sesiones , vulnerabilidades en las aplicaciones web y navegadores.

 El siguiente Ejercicio muestra como se puede explotar dicha vulnerabilidad con un script desarrollado en Python llamado BruteXSS, codificado por Shawar Khan y su descarga se puede encontrar en Github, en el siguiente enlace; BruteXSS.

Una vez descargado el script , abrimos una Terminal y  nos posicionamos en la carpeta para dar ejecución a dicha Herramienta.

                                               
                                                               1- Script BruteXSS.

 Existen Dos Métodos para ejecutar el Test : Peticiones Post y Get.

 Empleando el Método Post:

COMMAND:   python brutexss.py
METHOD:    p
URL:       http://www.site.com/file.php
POST DATA: parameter=value&parameter1=value1
WORDLIST:  wordlist.txt

2-Resultados Analisis Metodo Post No Vulnerables.

  Empleando el Método Get:

COMMAND:  python brutexss.py
METHOD:   g
URL:      http://www.site.com/?parameter=value
WORDLIST: wordlist.txt

3-Resultados Análisis Método GET No Vulnerables.

En Conclusión la herramienta antes presentada nos será de gran utilidad a la hora de testear nuestros sistemas , para así poder tomar la acción de recuperarse de dicho fallo , ya sea con técnicas de desarrollo seguro y también estar conscientes de la presencia de dicha vulnerabilidad.

Saludos.