Existem ferramentas de plataforma cruzada para gravar ataques XSS diretamente no banco de dados?

StackOverflow https://stackoverflow.com/questions/2453499

  •  20-09-2019
  •  | 
  •  

Pergunta

Eu encontrei recentemente esta entrada do blog Em uma ferramenta que grava o XSS ataca diretamente no banco de dados. Parece uma maneira terrivelmente boa de digitalizar um pedido de fraquezas em minhas aplicações.

Eu tentei executá -lo Mono, já que minha plataforma de desenvolvimento é Linux. Infelizmente, ele trava com um System.ArgumentNullException lá no fundo Microsoft.Practices.EnterpriseLibrary E parece que não consigo encontrar informações suficientes sobre o software (parece ser um projeto de tiro único, sem página inicial e nenhum desenvolvimento adicional).

Alguém está ciente de uma ferramenta semelhante? De preferência deve ser:

  • Plataforma cruzada (Java, Python, .net/mono, até plataforma cruzada c está ok)
  • código aberto (eu realmente gosto de poder auditar minhas ferramentas de segurança)
  • Capaz de conversar com uma ampla variedade de produtos DB (os grandes são mais importantes: MySQL, Oracle, SQL Server, ...)

Editar: Eu gostaria de esclarecer meu objetivo: gostaria de uma ferramenta que diretamente escreve o resultado de um ataque de injeção XSS/SQL bem -sucedido no banco de dados. A idéia é que eu quero verificar se todos os lugares do meu aplicativo corrigem codificação de saída. Detectar e evitar os dados que chegam lá em primeiro lugar é uma coisa totalmente diferente (e pode não ser possível quando exibir dados gravados no banco de dados por um aplicativo de terceiros).

Editar 2: Corneliu Tusnea, o autor da ferramenta que vinculei acima, lançou a ferramenta como software livre no CodePlex: http://xssattack.codeplex.com/

Foi útil?

Solução

Eu acho que a Metasploit tem a maioria dos atributos que você está procurando. Pode até ser o único que tem tudo o que você especifica, pois todos os outros que eu consigo pensar são de código fechado. Existem alguns módulos existentes que lidam com o XSS e um em particular que você deve dar uma olhada: HTTP Microsoft SQL Tabela de injeção XSS Infecção. Pelo sons desse módulo, é capaz de fazer exatamente o que você deseja fazer. A estrutura é escrita em Ruby, acredito e deve ser fácil de estender com seus próprios módulos que você pode precisar/deseja fazer. Espero que isso ajude.

http://www.metasploit.com/

Outras dicas

Não tenho certeza se é isso que você procura, é um fuzfer de parâmetro para http/https.

Eu não uso há algum tempo, mas o IIRC atua um proxy entre você e o aplicativo da web em questão - e insira seqüências de ataque de injeção XSS/SQL em qualquer campos de entrada antes de considerar se a resposta foi "interessante" ou não,, Assim, se o aplicativo é vulnerável ou não.

http://www.owasp.org/index.php/category:owasp_webarab_project

Pela sua pergunta, acho que é um tipo de docer que você está procurando e especificamente para XSS e aplicativos da Web; Se eu estiver certo - então isso pode ajudá -lo!

A sua parte do Open Web Application Security Project (OWASP) que "Jah" o vinculou acima.

Existem alguns plugins do Firefox para fazer alguns testes XSS aqui:http://labs.securitycompass.com/index.php/exploit-me/

Um amigo meu continua dizendo que php-ids é muito bom. Eu não experimentei eu mesmo, mas parece que poderia corresponder aproximadamente sua descrição:

  • Código aberto (LGPL),
  • Cross Platform - PHP não está na sua lista, mas talvez esteja tudo bem?
  • Detecta "todos os tipos de XSS, injeção de SQL, injeção de cabeçalho, travessia de diretório, RFE/LFI, DOS e ataques LDAP" (isso é das perguntas frequentes)
  • Logs para bancos de dados.

Eu não acho que exista essa ferramenta, além da que você nos apontou. Eu acho que há uma boa razão para isso: provavelmente não é a melhor maneira de testar que cada saída seja codificada adequadamente para o contexto aplicável.

Ao ler sobre essa ferramenta, parece que a premissa é inserir vetores XSS aleatórios no banco de dados e, em seguida, você navega para ver se algum desses vetores foi bem -sucedido. Esta é uma metodologia de sucesso e falta, para dizer o mínimo.

Acho que uma idéia muito melhor seria realizar análises de código.

Você pode achar útil dar uma olhada em alguns dos recursos disponíveis em http://owasp.org - Nomeadamente, o padrão de verificação de segurança do aplicativo (ASVS), o guia de teste e o guia de revisão de código.

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top