0

XSSer : Cross Site Scripter v1.7b

Posted by maltamir on Feb 2, 2017 in Seguridad.

XSSer es un framework de código libre escrito en python, que permite la automatización de procesos de detección, explotación y publicación de inyección de código “scripting”. Contiene diversas técnicas, tanto para evadir filtros, cómo para explotar código sobre vulnerabilidades de tipo XSS. En la presentación se mostrará la historia y evolución del proyecto, así cómo, una relación de todas las posibilidades que permite la herramienta, tanto desde el punto de vista de un auditor de seguridad profesional, cómo para aquellas personas que apenas tengan conocimientos.

Introducción

Cross Site Scripting (XSS)

  • Las vulnerabilidades de XSS abarcaban cualquier ataque que permita ejecutar código de «scripting» en el contexto de otro sitio web.
  • Se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web.
  • Usualmente no se validan correctamente los datos de entrada que son usados en algunas aplicaciones permitiendo enviar un script malicioso a la aplicación.
  • Para funcionar necesitan un punto de entrada, que suelen ser los formularios.
  • A través de un ataque XSS, se puede secuestrar cuentas, cambiar configuraciones de los usuarios, acceder a partes restringidas del sitio, modificar el contenido del sitio, etc.

 

Tipos de ataques XSS

Ataques Directos

  • El ataque de forma directa de XSS (también llamado XSS persistente), se presenta cuando el atacante consigue embeber código HTML malicioso, directamente en los sitios Webs que así lo permiten.
  • Funciona localizando puntos débiles en la programación de los filtros de HTML si es que existen, para publicar contenido.
  • Este tipo de ataques suele ser el más común, y el código del atacante, se basa en etiquetas HTML (del tipo o
  • El resultado muestra una ventana con el texto «hola-mundo».
  • Esta vulnerabilidad suele ser usada para efectuar robo de sesiones y phishing.

 

DESCRIPCIÓN DE XSSer

Se trata de un framework que permite:
  • Detectar vulnerabilidades de tipo XSS
  • Explorar dichas vulnerabilidades de forma local o remota.
  • Reportar en tiempo real las vulnerabilidades encontradas.
Entre sus principales funcionalidades destacan:
  • Interfaz gráfica
  • Dorking
  • Soporte para GET y POST (esto es importante ya que en herramientas tratadas en artículos anteriores solo se podían realizar inyecciones con GET).
  • Crawling
  • Proxy
  • Análisis heurístico
  • Exploits preconfigurados
  • Opciones de exportación.
  • Diferentes bypassers para evadir los filtros
Tipos de inyecciones permitidas:
  • XSS clásica (ejecución de código en un script incrustado)
  • Cookie Injection
  • Cross Site “Agent” Scripting
  • Cross Site “Refer” Scripting
  • Inyecciones en “Data Control Protocol” y “Document Objetct Model”
  • HTTP Response Splitting Induced

 

 

 

    • Directo desde github:

 

git clone https://github.com/epsylon/xsser-public

 EJEMPLOS DE USO

  • Inyección básica
xsser -u “victima.com”
  • Inyección automática (prueba todos los vectores)
xsser -u “victima.com” --auto
  • Inyección con payload personalizado
xsser -u “victima.com” --payload=”>”
  • Explotación en local
xsser -u “victima.com” --Fp = “”
  • Explotación en remoto
xsser -u “victima.com” --Fr=””
  • Utilización de dorking
xsser -d “inurl: admin/echo” --De “google” --Fp =””
  • Utilización de proxy y spoofin de cabecera HTTP Refer
xsser -u “victima.com” --proxy http://localhost:8118 --refer “666.666.666.666”
  • Utilización de encoding hexadecimal
xsser -u “victima.com” --Hex
  • Inyección múltiple con 5 hilos y codificación con mutación
xsser -u “victima.com” --Cem --threads “5”
  • Utilización del crawler con profundidad 3 y 4 páginas
xsser -u “victima.com” -c3 --Cw=4
  • Explotación a través de POST
xsser -u “victima.com” -p “target_host=nombre&dns-lookup-php-submit-button=Lookup+DNS”

XSSER GTK

Se trata de una opción algo más intuitiva de usar XSSer.

– Configuration (works with Tor):

– Global Map:

– Spidering:

 

La herramienta se inicia con:
xsser --gtk

Gracias a la utilización del “Wizard Helper” puede llevarse a cabo la explotación guiada de forma mucho más sencilla que por línea de comandos.
Fuente: elHacker.NET

Etiquetas: , , ,

 
0

PASTEJACKING, EL NUEVO ATAQUE INFORMÁTICO

Posted by maltamir on Jun 3, 2016 in Actualidad, Seguridad.

Las astucia de los ciberdelincuentes muchas veces hace posible la aparición de nuevos ataques. El conocido como pastejacking es la sensación del momento y en las últimas semanas está de moda su uso. Sin embargo, aunque hemos indicado que es nuevo en realidad esta afirmación no es del todo correcta.

Más conocido por “clipboard jacking”, este tipo de ataque carece en la mayoría de las ocasiones de sentido, sirviendo cuando el usuario ha copiado algún contenido al portapapeles para pegarlo en su equipo. Tal y como ya hemos mencionado no se trata de un ataque novedoso, ya que podría decirse que la primera versión de este hacía uso de las hojas de estilo (conocidas como CSS) para conseguir de forma eficaz modificar el contenido copiado por el usuario.

En esta ocasión, todo parece indicar que los ciberdelincuentes han abandonado esta vía y se han entrado en la utilización sobre todo de JavaScript. Los expertos en seguridad afirman que esta nueva versión es mucho más eficaz que la anterior, ya que permite responder a un evento en un tiempo menor y modificar de esta forma el contenido del portapapeles.

Añaden que la utilización de JavaScript es un auténtico problema para los usuarios, ya que es muy difícil de detectar y también de erradicar.

pastejacking-nuevo-ataque-robo-de-informacion

DESCRIPCIÓN DE PASTEJACKING

La técnica consiste en detectar el copiado de cierta información para ejecutar el script que lleva a cabo la modificación del contenido. Algo que es instantáneo y que tiene una clara ventaja con respecto a CSS. Mientras en el último caso el usuario debe seleccionar todo el texto para introducir el código malware, en el actual solo es necesario seleccionar parte o un solo carácter para que el script lleve a cabo su cometido.

LAS PÁGINAS HACKEADAS JUEGAN UN PAPEL IMPORTANTE

Resulta bastante habitual encontrar hoy en día páginas que están afectadas por fallos de seguridad y que distribuyen malware. Partiendo de esto, los ciberdelincuentes podrían a partir de ahora utilizar estas para añadir el código JavaScript correspondiente y así llevar a cabo el pastejacking sin que el usuario se percate de lo que está sucediendo. Además, este podría distribuir su amenaza de forma totalmente gratuita gracias a la página hackeada.

Los expertos en seguridad ya han confirmado que se trata de un ataque muy difícil de detectar y que en un futuro no muy lejano puede ser la tónica a la que los usuarios deban hacer frente.

Fuente:http://www.redeszone.net/

Etiquetas: , , , ,

 
2

Phishing ofrece dinero a fanáticos de McDonald’s.

Posted by maltamir on Sep 7, 2010 in Actualidad, Seguridad.

En estos últimos días he podido conversar con amigos que muy frecuentemente han estado recibiendo correos electrónicos, que presuntamente son enviados por la empresa de hamburguesas McDonald’s y que llevan el asunto «Encuesta a clientes de McDonald´s». La encuesta básicamente solicita su punto de vista acerca de a comida y sobre la calidad de la misma, y una vez terminada la encuesta, se pide a los usuarios una serie de datos personales e incluso su número de tarjeta de crédito y código de seguridad, a cambio de recibir un pago de 90 dólares como compensación por contestar las preguntas. Siempre les he recomendado a mis amigos que jamás den a conocer sus números de tarjetas de crédito por medio de correo electrónicos y peor en encuestas de satisfacción al cliente o de cualquier índole.

“El uso de encuestas online, especialmente las de satisfacción del cliente, es una forma habitual para los estafadores de ganar dinero» y lo curioso y que no es de extrañarse es que se ofrezca un pago tras completar la encuesta, cosa que a los internautas les resulta bastante tentador. Pero como siempre he dicho, ningún formulario legal y serio jamás les pedirá sus datos financieros.

Si bien es cierto que la idea de ganar un dinero extra por internet es tentador, debemos ser consciente del peligro que corremos al momento de dar nuestros datos financieros, pues siempre he dicho «lo que subes a internet jamás podrás borrarlo, siempre estará ahí».

Éste tipo de ataques es comúnmente conocido como phishing y de manera particular como «phishing de McDonald´s», más de uno han de estar esperando el pago por completar la encuesta sin saber que ya fueron víctimas de un roba y que sus carteras están siendo vaciadas.

Para terminar, puedo decirles que los estafadores digitales pueden y suelen usar más de un disfraz para conseguir su propósito entre ellos bancos en línea, tiendas en linea, proveedores de correos, ahora de comidas rápidas e incluso las mismas redes sociales.

Etiquetas: , , , ,

Copyright © 2024 THE MAAD BLOG All rights reserved. Theme by Laptop Geek.