Y at-il des outils multi-plateforme pour écrire des attaques XSS directement à la base de données?

StackOverflow https://stackoverflow.com/questions/2453499

  •  20-09-2019
  •  | 
  •  

Question

J'ai récemment trouvé cette entrée de blog sur un outil écrit XSS attaque directement à la base de données. Il ressemble terriblement bon de numériser une demande de faiblesses dans mes applications.

J'ai essayé de l'exécuter sur Mono , depuis ma plate-forme de développement est Linux. Malheureusement, il se bloque avec une System.ArgumentNullException au plus profond Microsoft.Practices.EnterpriseLibrary et je semble être incapable de trouver suffisamment d'informations sur le logiciel (il semble être un projet unique coup, sans aucune page d'accueil et développement).

Quelqu'un est-il au courant d'un outil similaire? De préférence, il doit être:

  • multiplateforme (Java, Python, .NET / Mono, même multi-plateforme C est ok)
  • open source (je aime vraiment être en mesure de vérifier mes outils de sécurité)
  • capable de parler à un large éventail de produits DB (les grands sont les plus importants: MySQL, Oracle, SQL Server, ...)

Modifier Je voudrais clarifier mon but: je voudrais un outil que directement , écrit le résultat d'un succès XSS / SQL attaque par injection dans la base de données. L'idée est que je veux vérifier que chaque endroit dans mon application ne corrige sortie encodage . Détecter et d'éviter les données obtenir là en premier lieu est une chose tout à fait différente (et peut-être pas possible quand j'afficher des données qui est écrit dans le DB par une application tierce).

Edit 2: Corneliu Tusnea, l'auteur de l'outil I lien ci-dessus, a depuis sorti l'outil en tant que logiciel libre sur CodePlex: http://xssattack.codeplex.com/

Était-ce utile?

La solution

Je pense que Metasploit a la plupart des attributs que vous recherchez. Il peut même être le seul qui a tout ce que vous spécifiez, puisque tous les autres que je peux penser sont la source fermée. Il y a quelques modules existants qui traitent XSS et un en particulier que vous devriez jeter un coup d'oeil à: HTTP Microsoft SQL Injection Tableau XSS Infection. Des sons de ce module, il est capable de faire exactement ce que vous voulez faire. Le cadre est écrit en Ruby, je crois, et est censé être facile à étendre avec vos propres modules que vous pourriez avoir besoin / envie de faire. J'espère que cela aide.

http://www.metasploit.com/

Autres conseils

Je ne sais pas si c'est ce que vous êtes après, son paramètre fuzzer pour HTTP / HTTPS.

Je ne l'ai pas utilisé dans un certain temps, mais IIRC il agit un proxy entre vous et l'application Web en question - et insérerai XSS / SQL chaînes d'attaque d'injection dans tous les champs d'entrée avant de considérer si la réponse était « intéressante » ou non, ainsi que l'application est vulnérable ou non.

http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

A partir de votre question, je devine que c'est un type de fuzzer que vous cherchez, et un spécialement pour les applications XSS et Web; si je ne me trompe pas - alors cela pourrait vous aider

Sa partie du projet Open Web Application Security (OWASP) que "jah" vous a lien ci-dessus.

Il y a des plugins de Firefox à faire ici quelques tests XSS: http://labs.securitycompass.com/index.php/exploit-me/

Un de mes amis ne cesse de dire que php-ids est assez bon. Je ne l'ai pas essayé moi-même, mais il semble que si elle pouvait à peu près correspondre à votre description:

  • Open Source (LGPL),
  • Cross Platform - PHP est pas dans votre liste, mais peut-être il est ok
    • ?
  • Détecte "toutes sortes de XSS, injection SQL, injection d'en-tête, directory traversal, RFE / LFI, DoS et les attaques LDAP" (ce qui est de la FAQ)
  • Journaux à des bases de données.

Je ne pense pas qu'il y ait un tel outil, autre que celui que vous nous ont envoyé à. Je pense qu'il ya une bonne raison pour cela: Il est sans doute pas la meilleure façon de vérifier que chaque sortie est correctement codé pour le contexte applicable

.

De la lecture de cet outil il semble que le principe est d'insérer des vecteurs de XSS aléatoires dans la base de données et vous parcourez votre application pour voir si l'un de ces réussir vecteurs. Ceci est plutôt un succès et la méthodologie miss, pour le moins.

Une bien meilleure idée, je pense, serait d'effectuer des examens de code.

Vous trouverez peut-être utile de jeter un oeil à quelques-unes des ressources disponibles à http://owasp.org -. à savoir la norme de vérification de sécurité application (SPVS), le Guide de test et le code Guide d'examen

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top