Nemokami „XSS Tools“

Skirtingų svetainių scenarijai, paprastai žinomi kaip XSS, yra pažeidžiamumas kuriame užpuolikai nuotoliniu būdu injekuoja tinkintus scenarijus į tinklalapius. Tai dažniausiai pasitaiko svetainėse, kur netinkamai įvedami duomenų įvesties parametrai išvalytas.

Įvesties išvalymas yra įvesties valymo procesas, todėl įterpti duomenys nenaudojami norint rasti ar išnaudoti saugos spragas svetainėje ar serveryje.

Pažeidžiamas teritorijos yra arba nesanitizuotos, arba labai blogai ir nepilnai išvalytos. Tai yra netiesioginė ataka. Naudingoji apkrova netiesiogiai siunčiama į auka. The kenkėjiškas kodas užpuolikas įterpia į svetainę ir tada tampa jos dalimi. Kai tik vartotojas (auka) lankosi tinklo puslapis, kenkėjiškas kodas yra perkeltas į naršyklę. Taigi vartotojas nieko nežino.

Naudodamas XSS, užpuolikas gali:

• Manipuliuoti, sunaikinti ar net sugadinti svetainę.
• Atskleiskite neskelbtinus vartotojo duomenis
• Užfiksuokite vartotojo patvirtintus sesijos slapukus
• Įkelkite sukčiavimo puslapį
• Nukreipkite vartotojus į kenksmingą sritį

XSS pastarąjį dešimtmetį pateko į OWASP dešimtuką. Daugiau nei 75% paviršiaus tinklo yra pažeidžiami XSS.

Yra 4 XSS tipai:

• Saugoma XSS
• Atspindėtas XSS
• DOM pagrįstas XSS
• Akloji XSS

Tikrinant, ar XSS nėra, galima pavargti radus injekciją. Daugelis pentesterių darbui atlikti naudoja „XSS Tools“. Proceso automatizavimas ne tik taupo laiką ir pastangas, bet, dar svarbiau, duoda tikslius rezultatus.

Šiandien aptarsime keletą nemokamų ir naudingų įrankių. Taip pat aptarsime, kaip juos įdiegti ir naudoti.

„XSSer“:

„XSSer“ arba „cross-site“ scenarijus yra automatinė sistema, padedanti vartotojams rasti ir išnaudoti XSS pažeidžiamumus svetainėse. Jame yra iš anksto įdiegta apie 1300 pažeidžiamumų biblioteka, kuri padeda apeiti daugelį WAF.

Pažiūrėkime, kaip mes galime jį naudoti ieškodami XSS pažeidžiamumų!

Diegimas:

Turime klonuoti xsser iš šios „GitHub“ repo.

$ git klonas https: // github.com / epsylon / xsser.git

Dabar „xsser“ yra mūsų sistemoje. Eikite į „xsser“ aplanką ir paleiskite sąranką.py

$ cd xsser
$ python3 sąranka.py

Jis įdiegs visas jau įdiegtas priklausomybes ir įdiegs „xsser“. Dabar atėjo laikas jį paleisti.

Paleisti GUI:

$ python3 xsser --gtk

Atsiras toks langas:

Jei esate pradedantysis, pereikite per vedlį. Jei esate profesionalas, rekomenduosiu konfigūruoti „XSSer“ pagal savo poreikius per skirtuką „Konfigūruoti“.

Vykdyti terminale:

$ python3 xsser

Čia yra svetainė, kuri meta iššūkį išnaudoti XSS. Naudodami „xsser“ rasime keletą pažeidžiamumų. Mes suteikiame tikslinį URL „xsser“ ir jis pradės tikrinti, ar nėra pažeidžiamumų.

Kai tai bus padaryta, rezultatai bus išsaugoti faile. Čia yra XSSreport.žalias. Visada galite grįžti pažiūrėti, kuri iš naudingųjų apkrovų veikė. Kadangi tai buvo iššūkis pradedantiesiems, dauguma pažeidžiamumų yra RASTA čia.

XSSniper:

„Cross-Site Sniper“, dar vadinamas „XSSniper“, yra dar viena „xss“ atradimo priemonė, turinti masinio nuskaitymo funkcijas. Jis nuskaito tikslą, kuriame yra GET parametrai, ir tada į juos įpurškiama XSS naudingoji apkrova.

Jos galimybė tikrinti santykinių nuorodų tikslinį URL laikoma kita naudinga funkcija. Kiekviena rasta nuoroda pridedama prie nuskaitymo eilės ir apdorojama, todėl lengviau išbandyti visą svetainę.

Galų gale šis metodas nėra atsparus apgaulei, tačiau jis yra geras euristinis būdas masiškai rasti injekcijos taškus ir išbandyti pabėgimo strategijas. Be to, kadangi nėra naršyklės emuliacijos, turite rankiniu būdu išbandyti atrastas injekcijas su įvairiomis naršyklės „xss“ apsaugomis.

Norėdami įdiegti „XSSniper“:

$ git klonas https: // github.com / gbrindisi / xsssniper.git

„XSStrike“:

Šiame kelių svetainių scenarijų aptikimo įrankyje yra:

• 4 ranka parašyti parsidavėjai
• protingas naudingosios apkrovos generatorius
• galingas susikaupęs variklis
• nepaprastai greitas vikšrinis

Tai skirta tiek atspindimam, tiek DOM XSS nuskaitymui.

Diegimas:

$ cd XSStrike
$ ls

$ pip3 install -r reikalavimai.txt

Naudojimas:

Neprivalomi argumentai:

Vieno URL nuskaitymas:

$ python xsstrike.py -u http: // pavyzdys.com / search.php?q = užklausa

Tikrinimo pavyzdys:

$ python xsstrike.py -u "http: // pavyzdys.com / puslapis.php "- nuskaitymas

„XSS Hunter“:

Tai yra neseniai pradėta sistema šioje XSS pažeidžiamumų srityje su lengvais valdymo, organizavimo ir stebėjimo privalumais. Paprastai tai veikia laikant konkrečius žurnalus per tinklalapių HTML failus. Kaip pranašumą, palyginti su įprastais XSS įrankiais, rasti bet kokio tipo įvairių svetainių scenarijų pažeidžiamumą, įskaitant aklą XSS (kuris dažniausiai yra praleidžiamas).

Diegimas:

$ sudo apt-get install git (jei dar neįdiegtas)
$ git klonas https: // github.com / privalomas programuotojas / xsshunter.git

Konfigūracija:

- paleiskite konfigūracijos scenarijų kaip:

$ ./ generuoti_konfig.py

- dabar paleiskite API kaip

$ sudo apt-get install python-virtualenv python-dev libpq-dev libffi-dev
$ cd xsshunter / api /
$ virtualenv env
$ . env / bin / aktyvuoti
$ pip install -r reikalavimai.txt
$ ./ apiserver.py

Norėdami naudoti GUI serverį, turite vykdyti ir vykdyti šias komandas:

$ cd xsshunter / gui /
$ virtualenv env
$ .env / bin / aktyvuoti
$ pip install -r reikalavimai.txt
$ ./ guiserver.py

W3af:

Kitas atvirojo kodo pažeidžiamumo testavimo įrankis, kuris daugiausia naudoja JS, kad patikrintų konkrečius tinklalapius dėl pažeidžiamumo. Pagrindinis reikalavimas yra įrankio konfigūravimas pagal jūsų poreikius. Kai tai bus padaryta, ji efektyviai atliks savo darbą ir nustatys XSS pažeidžiamumus. Tai yra įskiepių įrankis, kuris daugiausia suskirstytas į tris dalis:

• „Core“ (pagrindiniam veikimui ir bibliotekų teikimui papildiniams)
• Vartotojo sąsaja
• Įskiepiai

Diegimas:

Norėdami įdiegti „w3af“ į savo „Linux“ sistemą, atlikite toliau nurodytus veiksmus:

Klonuokite „GitHub“ atpirkimą.

$ sudo git klonas https: // github.com / andresriancho / w3af.git

Įdiekite norimą naudoti versiją.

> Jei norite naudoti GUI versiją:

$ sudo ./ w3af_gui

Jei norite naudoti konsolės versiją:

$ sudo ./ w3af_console

Abiems jiems reikės įdiegti priklausomybes, jei jos dar nėra įdiegtos.

Scenarijus sukurtas adresu / tmp / script.sh, kuris jums įdiegs visas priklausomybes.

W3af GUI versija pateikiama taip:

Tuo tarpu konsolės versija yra tradicinis terminalo (CLI) išvaizdos įrankis.

Naudojimas

1. Konfigūruoti tikslą

Tiksliniame meniu paleiskite komandą nustatyti tikslą TARGET_URL.

2. Konfigūruoti audito profilį

„W3af“ yra su tam tikru profiliu, kuriame jau yra tinkamai sukonfigūruoti papildiniai auditui atlikti. Norėdami naudoti profilį, paleiskite komandą, naudoti „PROFILE_NAME“.

3. Konfigūruoti papildinį

4. Konfigūruoti HTTP

5. Vykdyti auditą

Norėdami gauti daugiau informacijos, eikite į http: // w3af.org /:

Nutraukimas:

Šios priemonės yra teisingos lašas jūroje nes internetas yra pilnas nuostabių įrankių. XSS aptikti taip pat galima naudoti tokius įrankius kaip „Burp“ ir „webscarab“. Be to, kepurė nuo nuostabios atvirojo kodo bendruomenės, kuri pateikia įdomių kiekvienos naujos ir unikalios problemos sprendimų.