XSS-ME : Addon para Firefox de Análise de XSS

O XSS-me é um dos módulos de análise da suíte EXPLOIT-ME. Ela foi concebida pela empresa SECCOM Labs com o intuito de facilitar testes de segurança em aplicações web, fazendo com que a varredura de vulnerabilidades conhecidas como as TOP 10, ou seja, as que estão mais presentes, sejam detectadas em Forms e Inputs dentro de páginas web.

Basicamente o XSS-Me foi criado para testes utilizando vulnerabilidades de Reflected Cross-Site Scripting, e não Stored XSS.

A ferramenta trabalha enviando seu HTML forms e substituindo o valor do Form com strings que seriam utilizadas para explorar falhas de XSS attacks.

Se o resultado do HTML contiver um valor específico de JavaScript (document.vulnerable=true) significa que a página está vulnerável para aquela determinada string de XSS.

Um ponto importante que deve ser citado é que a ferramenta não  faz nenhuma tentativa de comprometer a segurança do sistema alvo. Ela procura por possíveis pontos de vulnerabilidade contra o sistema.  Desta forma não é efetuado nenhum tipo de port scanning, packet sniffing, password cracking ou firewall attacks a partir da ferramenta.

A ferramenta simplesmente automatiza o que um QA tester faria no site manualmente, injetando ele mesmo diretamente no browser as strings diretamente nos form fields.

xss-me01

A imagem acima mostra a SideBar do XSS-Me me mostrando as opções disponíveis quando eu abro o site do Google.  Automaticamente ela identifica as URLs que estão como links no Form e você pode testar o Form ou os Links que estão disponíveis nele.

Quando se escolhe o Form podemos escolher Strings específicas, rodar todos os Testes, ou optar por executar o Top 9 Tests, que irá varrer procurando pelas strings mais conhecidas.

O Xss-ME detecta todos os tipos de Cross-site Scriping ?

A resposta é óbvia: Não. O Xss-Me detecta muitos tipos de Reflected Cross-Site Scripting nos campos dos forms. Infelizmente ele não tem métodos para realmente efetuar o ataque de XSS (exemplo, um stored cross-site scripting precisa de dados fornecidos pelo usuário, ou então utilizar outras fontes como Cookies, links, ou Headers HTTP).   Porém novos vetores de XSS estão sendo descobertos o tempo todo e um dos pontos fortes do XSS-Me é que permite que você adicione novas strings de acordo com sua necessidade específica.

Para adicionar novas Assinaturas,  use o XSS-Strings Options , no menu Tools -> Xss-Me -> Options. Adicione o ataque em “Attack String”. Lembre-se que o ataque deve conter a string “document.vulnerable=true” no resultado do JavaScript para que a ferramenta possa interpretar o resultado corretamente. Por exemplo:

<script>document.vulnerable=true</script>

Resultados

Xss-Me tem 3 tipos de resultados:

Failures:  O número de testes que certamente resultaram na detecção de Reflected XSS.

Warnings: O número de testes que podem possivelmente resultar na detecção de um cross-site scripting, porém não pode validar com certeza porque o plugin não modifica o DOM Object no Firefox como é especificado no JavaScript, mas ele pode resultar em um ataque com sucesso em um browser diferente.

Pass: O número de testes que não resultaram em  detecção de reflected XSS

No próximo artigo iremos ver a outra ferramenta da Suite chamada  SQL-Me que atua da mesma forma porém utilizando testes de SQL-Injection.

Fontes:

http://labs.securitycompass.com/index.php/exploit-me/xss-me

MySqloit – SQL Injection Takeover tool

MySloit é uma tool para exploração de falhas de SQL Injection focada em LAMP(Linux, Apache, MySQL,PHP) e WAMP (Windows, Apache, MySQL,PHP). Ele tem a habilidade de fazer upload e executar shellcodes do metasploit através de falhas de MySQL SQL Injection.

Atacantes efeutando SQL Injection em MySQL-PHP podem acabar se deparando com diversas limitações ao contrário do mesmo cenário ocorrendo em um Windows com SQL Server que permite muito mais facilidades para escalar privilégios e etc. Por exemplo a falta de multiplos statements em uma query faz o MySQL uma plataforma pouco popular para remote code execution. Essa ferramenta foi escrita justamente para demonstrar como a execução remota de códigos pode ser executada em um connector de banco de dados que não suporta stack queries.

Plataforma Suportada:

1) Linux

Key Features

1) SQL Injection detection using time based injection method

2) Database fingerprint

2) Web server directory fingerprint

3) Payload creation and execution

Download: Aqui

Faça o teste e mande os resultados aqui para que eu possa postar no blog :)

Good Hacking 4 All.

Book of Month: September

The Shellcoder’s Handbook: Discovering and Exploiting Security Holes
Author: Chris Anley, John Heasman, Felix Linder, Gerardo Richarte
Publisher: Wiley
Year: 2007
Pages: 718
Amazon’s book description: This much-anticipated revision, written by the ultimate group of top security experts in the world, features 40 percent new content on how to find security holes in any operating system or application. New material addresses the many new exploitation techniques that have been discovered since the first edition, including attacking “unbreakable” software packages such as McAfee’s Entercept, Mac OS X, XP, Office 2003, and Vista. Also features the first-ever published information on exploiting Cisco’s IOS, with content that has never before been explored. The companion Web site features downloadable code files.

FuzzGrind: OpenSource Fuzzing Framework

Bom depois de algum tempo de inatividade o RootSecurity volta com todo gas.  Vamos falar um pouco sobre esta ótima ferramenta o FuzzGrind.

O Fuzzgrind é uma ferramenta totalmente automatica para fazer fuzzing, gerando arquivos de teste com o propósito de descobrir novos exeuction paths que permitam encontrar algum bug ou vulnerabilidades em potencial.

Ele se baseia no conceito de symbolic execution. Desta forma, a ferramenta inicia  o teste em um arquivo considerado válido pelo software que está sendo testado e analisa seu execution path para extrair quaisquer restrições vinculadas  à arvore simbólica utilizada pela aplicação.

Verificando cada restrição uma a uma, Fuzzgrind irá alertar caso encontre alguma possível nova ramoficação que permita descobrir novas vulnerabilidades.

O Fuzzgrind é distribuido sob os termos da GNU GPL. Todos que resolverem contribuir serão bem vindos!

Download:  http://security-labs.org/fuzzgrind/files/fuzzgrind_090622.tar.gz

Book of Month: July

The Art of Software Security Testing: Identifying Software Security Flaws
Author: Chris Wysopal, Lucas Nelson, Dino Dai Zovi, Elfriede Dustin
Publisher: Addison-Wesley Professional
Year: 2006
Pages: 312
Amazon’s book description: Risk-based security testing, the important subject of this book, is one of seven software security touchpoints introduced in my book, Software Security: Building Security In. This book takes the basic idea several steps forward. Written by masters of software exploit, this book describes in very basic terms how security testing differs from standard software testing as practiced by QA groups everywhere. It unifies in one place ideas from Michael Howard, David Litchfield, Greg Hoglund, and me into a concise introductory package. Improve your security testing by reading this book today.

BlueMaho – Bluetooth Security Testing Suite

O BlueMaho é uma suite de tools para Security Assessment em dispositivos bluetooth (celulares, pdas, smartphones, etc). Ele possui uma interface gráfica muito bacana ajudando muito na utilização e na execução dos testes. Este projeto foi concebido como freeware e opensource, sendo praticamente todo escrito em python, usando wxPython para a interface gráfica sendo assim muito leve e rápido para carregar.

Ele pode ser utilizado tanto como plataforma para Security Assessment em dispositivos bluetooth, fazendo varreduras a fim de localizar vulnerabilidades conhecidas, como também uma plataforma de Vulnerability Research pois utilizando as diversas ferramentas que ele acompanha aliadas as estatísticas que ele produz, muitas falhas novas podem ser encontradas. Vale a pena citar que as estatísticas são um ponto alto na ferramenta.

* Scan de Devices: Exibição de informações sobre o dispositivo como SDP records, fabricante e etc;

* Device Track: Mostra onde e quantas vezes o dispositivo localizado foi detectado e possíveis mudanças de nome;

* Loop Scan: Faz varreduras continuas a procura de novos dispositivos no range de ação bluetooth;

* Gera alertas sonoros sempre que um novo dispositivo for identificado;

* On_new_device Events: Possibilidade de especificar comandos que serão executados sempre que um dispositivo novo é detectado;

* Multi-Dialogs: É possível utilizar diferentes dialogs para efetuar tarefas distintas, facilitando assim a interação com diversas ferramentas simultaneament.

* Envio de arquivos:  Possível efetuar upload de arquivos para dispositivos acessados;

* Permite alterar o perfil de dispositivos HCI Locais (nome, class, BD_ADDR, etc);

* Possibilidade de guardar resultados de testes em databases;

* Security Assessment em dispositivos remotos a procura de falhas conhecidas (veja sessão de exploits para maiores detalhes);

* Possibilidade de testar dispositivos remotos a procura de falhas não conhecidas utilizando combinações de ferramentas disponibilizadas pelo toolkit;

* Temas: Você pode custimiza-lo eheh ;)

Documentação Aqui.

Download Aqui.

Espero que gostem.

Good Hacking for All.

The Interceptor 1.0

The Interceptor is a way to listen in to network traffic as it flows past.

The Interceptor does away with the wired monitor port and instead spits out the traffic over wireless meaning the listener can be anywhere they can make a wireless connection to the device. As the data is encrypted (actually, double encrypted, see how it works) the person placing the tap doesn’t have to worry about unauthorized users seeing the traffic.

Here are some possible situations for use:

  • Penetration testing – If you can gain physical access to a targets office drop the device between the office printer and switch then sit in the carpark and collect a copy of all documents printed. Or, get an appointment to see a boss and when he leaves the room to get you a drink, drop it on his computer. The relative low cost of the Fon+ means the device can almost be considered disposable and if branded with the right stickers most users wouldn’t think about an extra small box on the network.
  • Troubleshooting – For sys-admins who want to monitor an area of network from the comfort of their desks, just put it in place and fire up your wireless.
  • IDS – If you want to see what traffic is being generated from a PC without interfering with the PC simply add the Interceptor and sit back and watch. As the traffic is cloned to a virtual interface on your monitoring machine you can use any existing tools to scan the data.
The Interceptor 1.0
Platform: Linux
Last update: 18 March 2009
Developer: Robin Wood
File type: .tar.bz2
File size: 33 Kb
License: Creative Commons
Categories: Analyzers
Monitoring
Networking
Wireless
Downloads: 36
Download