¿Hay herramientas multiplataforma para escribir los ataques XSS directamente a la base de datos?

StackOverflow https://stackoverflow.com/questions/2453499

  •  20-09-2019
  •  | 
  •  

Pregunta

He encontrado recientemente esta entrada del blog en una herramienta que escribe XSS ataca directamente a la base de datos. Se parece a una terriblemente buena forma de escanear una solicitud de debilidades en mis aplicaciones.

He intentado ejecutarlo en Mono , desde mi plataforma de desarrollo es Linux. Por desgracia se estrella con un System.ArgumentNullException en el interior de Microsoft.Practices.EnterpriseLibrary y parece ser incapaz de encontrar suficiente información sobre el software (que parece ser un proyecto de un solo tiro, sin ninguna página de inicio y posterior desarrollo).

Hay alguien consciente de una herramienta similar? Preferiblemente debe ser:

  • multiplataforma (Java, Python, .NET / Mono, incluso multiplataforma C es ok)
  • de código abierto (me gusta mucho poder auditar mis herramientas de seguridad)
  • capaz de hablar con una amplia gama de productos de base de datos (los grandes son los más importantes: MySQL, Oracle, SQL Server, ...)

Editar Me gustaría aclarar mi objetivo: Me gustaría una herramienta que directamente escribe el resultado de una exitosa XSS / ataque de inyección SQL en la base de datos. La idea es que quiero comprobar que cada lugar en mi aplicación hace correcta codificación de salida . Detectar y evitar los datos que consiguen allí en primer lugar es una cosa totalmente diferente (y tal vez no sea posible cuando puedo mostrar datos que se escriben en la base de datos mediante una aplicación de terceros).

Editar 2: Corneliu Tusnea, el autor de la herramienta he vinculado al anterior, ha lanzado desde entonces la herramienta de software libre en CodePlex: http://xssattack.codeplex.com/

¿Fue útil?

Solución

Creo Metasploit tiene la mayor parte de los atributos que está buscando. Incluso puede ser el único que tiene todo lo que usted especifique, ya que todos los demás que se me ocurren son de código cerrado. Hay unos cuantos módulos existentes que se ocupan de XSS y una en particular que usted debe echar un vistazo a: HTTP inyección de Microsoft SQL Tabla XSS infección. A partir de los sonidos de ese módulo es capaz de hacer exactamente lo que están queriendo hacer. El marco está escrito en Ruby que creo, y se supone que es fácil de extender con sus propios módulos que puede necesitar / quieren hacer. Espero que ayude.

http://www.metasploit.com/

Otros consejos

No estoy seguro si esto es lo que está buscando, es un parámetro para fuzzer HTTP / HTTPS.

No he utilizado en un tiempo, pero IIRC que actúa un proxy entre el usuario y la aplicación web en cuestión - y voy a insertar cadenas de ataque / SQL Injection XSS en cualquiera de los campos de entrada antes de Deeming si la respuesta era "interesante" o no, por lo tanto si la aplicación es vulnerable o no.

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

Desde su pregunta supongo que es un tipo de fuzzer que estás buscando, y uno específicamente para aplicaciones de XSS y web; si estoy bien - a continuación, que pueden ayudarle a

Su parte del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) que "Jah" se ha vinculado anteriormente.

Hay algunos plugins de Firefox para hacer algunas pruebas XSS aquí: http://labs.securitycompass.com/index.php/exploit-me/

Un amigo mío sigue diciendo, que php-ids es bastante bueno. No he probado a mí mismo, pero suena como si se podía igualar aproximadamente su descripción:

  • Open Source (LGPL),
  • Plataforma Cruz - PHP no está en su lista, pero tal vez está bien
    • ?
  • Detecta "todo tipo de XSS, inyección SQL, inyección de cabecera, salto de directorio, RFE / LFI, ataques DoS y LDAP" (esto es de la AYUDA)
  • Registros a bases de datos.

No creo que hay una herramienta de este tipo, que no sea el que usted nos indicó. Creo que hay una buena razón para ello: Probablemente no sea la mejor manera de probar que todos y cada salida se codifica correctamente para el contexto de aplicación

.

A partir de la lectura sobre esa herramienta parece la premisa es insertar vectores XSS al azar en la base de datos y luego se prueba la aplicación para ver si alguno de esos vectores tienen éxito. Esto es más bien una metodología inconsistente, por decir lo menos.

Una idea mucho mejor, creo, sería llevar a cabo las revisiones de código.

Es posible que le resulte útil echar un vistazo a algunos de los recursos disponibles en http://owasp.org -. a saber, la aplicación estándar de seguridad Verificación (ASVS), la guía de pruebas y la Guía para la evaluación Código

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top