XSSCRAPY; SQL Injection Spider


 

XSS-Blog, 002

XSS-Blog, 003

XSSCRAPY -;  En esta ocasión toca hablar de esta “herramienta” basada en <Python> cuya función es <capturar> todos los “módulos” de una “plataforma web” con la ayuda de un “Spider” y – a su misma vez – inyectar <código malicioso> (“payload”) para tratar de <explotar> los fallos – vulnerabilidades – que dicha plataforma nos ofrece (agradecido, como diría el gran “Rosendo“) }:P

Esta <herramienta> está especialmente dedicada (o destinada) a encontrar fallos en un tipo de “vulnerabilidad” conocida como “XSS” (Cross-site Scripting), un error muy “típico” de algunas páginas web (mal cierre, por así decirlo, de <código> “Javascript“) y que puede ser – y será – aprovechado para insertar un “payload” (<código malicioso>) en el “servidor web”.

XSS-Blog, 004.png

Existen “2 tipos” de <XSS> -;

1º> Directa (llamada <Persistente>);

  • Es un tipo de “XSS” que permite <introducir> códigos “HTML” que den pie a insertar un <Script> (o “Iflame”) para generar que dicho “Script” se quede introducido en el directorio web afectado (POST).

2º> Indirecta (llamada “Reflejada”);

  • Este tipo de <XSS> consiste en modificar los valores que se encuentren en la página web para pasar dos “variables” de páginas web, y que solamente aparecerá con el código <añadido> en “GET”.

Vayamos a su <descarga> e “instalación” 😉

XSS-Blog, 005.png
Captura 1: “Clic” (imagen) para ir a GitHub y realizar la descarga 

XSS-Blog, 006

XSS-Blog, 007.png

XSS-Blog, 008.png

Una vez terminada la instalación correctamente (con todos sus “requisitos”) no olvidéis dar permisos <chmod 775*>, ejecutar esta herramienta no resulta difícil. Veamos sus “opciones”;

XSS-Blog, 009
XSS-Blog, 010

XSS-Blog, 011

En este caso haremos un “escaneo simple”;

XSS-Blog, 012

XSS-Blog, 013.png

Como se puede observar, la herramienta comienza a hacer un <Spider> de los servicios “GET y POST” e inyectando <payloads> para comprobar si es vulnerable.

Nota I: Tras el “escaneo automático”, la herramienta guardará un archivo con los fallos encontrados en la carpeta de <XSSCRAPY>.

XSS-Blog, 014

Aparecen los <links> con sus “parámetros” comprometidos, inyectaremos un <Script> básico;

XSS-Blog, 015

Salu2


TonyHAT - 435

Anuncios

Un comentario en “XSSCRAPY; SQL Injection Spider”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s