XSS-ME : Addon para Firefox de Análise de XSS

O XSS-me é um dos módulos de análise da suíte EXPLOIT-ME. Ela foi concebida pela empresa SECCOM Labs com o intuito de facilitar testes de segurança em aplicações web, fazendo com que a varredura de vulnerabilidades conhecidas como as TOP 10, ou seja, as que estão mais presentes, sejam detectadas em Forms e Inputs dentro de páginas web.

Basicamente o XSS-Me foi criado para testes utilizando vulnerabilidades de Reflected Cross-Site Scripting, e não Stored XSS.

A ferramenta trabalha enviando seu HTML forms e substituindo o valor do Form com strings que seriam utilizadas para explorar falhas de XSS attacks.

Se o resultado do HTML contiver um valor específico de JavaScript (document.vulnerable=true) significa que a página está vulnerável para aquela determinada string de XSS.

Um ponto importante que deve ser citado é que a ferramenta não  faz nenhuma tentativa de comprometer a segurança do sistema alvo. Ela procura por possíveis pontos de vulnerabilidade contra o sistema.  Desta forma não é efetuado nenhum tipo de port scanning, packet sniffing, password cracking ou firewall attacks a partir da ferramenta.

A ferramenta simplesmente automatiza o que um QA tester faria no site manualmente, injetando ele mesmo diretamente no browser as strings diretamente nos form fields.

xss-me01

A imagem acima mostra a SideBar do XSS-Me me mostrando as opções disponíveis quando eu abro o site do Google.  Automaticamente ela identifica as URLs que estão como links no Form e você pode testar o Form ou os Links que estão disponíveis nele.

Quando se escolhe o Form podemos escolher Strings específicas, rodar todos os Testes, ou optar por executar o Top 9 Tests, que irá varrer procurando pelas strings mais conhecidas.

O Xss-ME detecta todos os tipos de Cross-site Scriping ?

A resposta é óbvia: Não. O Xss-Me detecta muitos tipos de Reflected Cross-Site Scripting nos campos dos forms. Infelizmente ele não tem métodos para realmente efetuar o ataque de XSS (exemplo, um stored cross-site scripting precisa de dados fornecidos pelo usuário, ou então utilizar outras fontes como Cookies, links, ou Headers HTTP).   Porém novos vetores de XSS estão sendo descobertos o tempo todo e um dos pontos fortes do XSS-Me é que permite que você adicione novas strings de acordo com sua necessidade específica.

Para adicionar novas Assinaturas,  use o XSS-Strings Options , no menu Tools -> Xss-Me -> Options. Adicione o ataque em “Attack String”. Lembre-se que o ataque deve conter a string “document.vulnerable=true” no resultado do JavaScript para que a ferramenta possa interpretar o resultado corretamente. Por exemplo:

<script>document.vulnerable=true</script>

Resultados

Xss-Me tem 3 tipos de resultados:

Failures:  O número de testes que certamente resultaram na detecção de Reflected XSS.

Warnings: O número de testes que podem possivelmente resultar na detecção de um cross-site scripting, porém não pode validar com certeza porque o plugin não modifica o DOM Object no Firefox como é especificado no JavaScript, mas ele pode resultar em um ataque com sucesso em um browser diferente.

Pass: O número de testes que não resultaram em  detecção de reflected XSS

No próximo artigo iremos ver a outra ferramenta da Suite chamada  SQL-Me que atua da mesma forma porém utilizando testes de SQL-Injection.

Fontes:

http://labs.securitycompass.com/index.php/exploit-me/xss-me

Advertisements

Vulnerable Web Applications – Simuladores para Estudo

Hoje não há o que discutir quando o assunto é a segurança das aplicações desenvolvidos para a web em sua corporação, ou então as que são disponibilizadas para usuários. Apesar do grande número de técnicas e estratégias para aumentar a segurança existentes, a última grande camada, que irá de fato aumentar a segurança da aplicação é sem dúvida, o próprio desenvolvedor.

Ainda hoje, apesar de segurança ter se tornado uma matéria interdisciplinar e estar presente em todos os âmbitos onde hajam profissionais de tecnologia, existe uma lacuna gigantesca entre o que é preciso fazer para de fato aumentar a segurança e o que é possível fazer levando em conta o cronograma onde os projetos são desenvolvidos, e onde muitas vezes por falta de planejamento estratégico adequado do Core Team, a segurança é relegada a pequenos aspectos, que muitas vezes são apenas o inicio do todo trabalho.

Muitas vezes, durante os estudos fica difícil para iniciantes conseguir aplicar e visualizar alguns conceitos de vulnerabilidades e ataques em aplicações web, e isso acaba tornando a experiência algo difícil de ser absorvido. Pensando nisto, resolvi publicar um artigo voltado a alguns frameworks para estudo e simulação de explorações de vulnerabilidades em aplicações web.

Com estes frameworks você poderá ver na prática o efeito das principais vulnerabilidades, suas contra-medidas, assim como abrir a mente no que diz respeito a possíveis formas de mitigação destes tipos de ataque.  Utilizando uma plataforma das 3 que irei falar abaixo, certamente você verá que o entendimento destes tópicos se tornará muito mais interessante (e divertido).

dvwa

DVWA (Damn Vulnerable Web Application) – Este framework consiste basicamente de uma aplicação vulnerável em PHP/MySQL onde você pode testar suas habilidades em SQL Injection, XSS, Blind SQL Injection, etc.  O DVWA é desenvolvido por Ryan Dwhurst e faz parte de um projeto OpenSource da RandomStorm

http://www.dvwa.co.uk

hackxor11_7

Hackxor – É um web application hacking game. Neste game o jogador precisa localizer e explorer vulnerabilidades para progredir através da história do jogo, como se fosse um hacker contratado para rastrear outro hacker, usando todos os meios necessários. Ele contem scripts vulneraveis a Cross Site Scripting (XSS), Cros Site Request Forgery (CSRF), Structured Query Language Injection (SQLi), Remote Command Injection (RCE) e muitos outros.

http://sourceforge.net/projects/hackxor

WebGoat_Welcome_Page

WebGoat – É um projeto da OWASP (Open Web Application Security Project) onde você possuirá uma interface deliberadamente insegura disponibilizada em J2EE, onde você encontrará diversas lições e exercícios, onde poderá aprender de forma bem didática, com exemplos e exercícios de diversos níveis de dificuldade. O mais legal dessa web application e que permite ao usuário demonstrar seu entendimento de uma determinada falha de segurança explorando uma vulnerabilidade real em cada lição.

http://code.google.com/p/webgoat

Todas são geralmente muito simples de utilizar e começar a brincar. Acredito que é sempre bom deixar bem claro aqui que, obviamente a segurança dessas aplicações é algo praticamente inexistente, sendo assim, não hospedem estes recursos em servidores de produção (nunca é demais lembrar eheh), pois fatidicamente vocês serão hackeados, e não será apenas de brincadeira. :)

BlueMaho – Bluetooth Security Testing Suite

O BlueMaho é uma suite de tools para Security Assessment em dispositivos bluetooth (celulares, pdas, smartphones, etc). Ele possui uma interface gráfica muito bacana ajudando muito na utilização e na execução dos testes. Este projeto foi concebido como freeware e opensource, sendo praticamente todo escrito em python, usando wxPython para a interface gráfica sendo assim muito leve e rápido para carregar.

Ele pode ser utilizado tanto como plataforma para Security Assessment em dispositivos bluetooth, fazendo varreduras a fim de localizar vulnerabilidades conhecidas, como também uma plataforma de Vulnerability Research pois utilizando as diversas ferramentas que ele acompanha aliadas as estatísticas que ele produz, muitas falhas novas podem ser encontradas. Vale a pena citar que as estatísticas são um ponto alto na ferramenta.

* Scan de Devices: Exibição de informações sobre o dispositivo como SDP records, fabricante e etc;

* Device Track: Mostra onde e quantas vezes o dispositivo localizado foi detectado e possíveis mudanças de nome;

* Loop Scan: Faz varreduras continuas a procura de novos dispositivos no range de ação bluetooth;

* Gera alertas sonoros sempre que um novo dispositivo for identificado;

* On_new_device Events: Possibilidade de especificar comandos que serão executados sempre que um dispositivo novo é detectado;

* Multi-Dialogs: É possível utilizar diferentes dialogs para efetuar tarefas distintas, facilitando assim a interação com diversas ferramentas simultaneament.

* Envio de arquivos:  Possível efetuar upload de arquivos para dispositivos acessados;

* Permite alterar o perfil de dispositivos HCI Locais (nome, class, BD_ADDR, etc);

* Possibilidade de guardar resultados de testes em databases;

* Security Assessment em dispositivos remotos a procura de falhas conhecidas (veja sessão de exploits para maiores detalhes);

* Possibilidade de testar dispositivos remotos a procura de falhas não conhecidas utilizando combinações de ferramentas disponibilizadas pelo toolkit;

* Temas: Você pode custimiza-lo eheh ;)

Documentação Aqui.

Download Aqui.

Espero que gostem.

Good Hacking for All.

PHP filesystem attack vectors

Olá pessoal, após um pequeno periodo de “férias” estou de volta postando algumas coisas interessantes que estão rolando por ai. Um texto que li estes dias que realmente me chamou a atenção foi o paper do Ushi Team falando sobre vetores de ataques ao filesystem utilizando PHP.

Um dos fatores mais interessantes é que um dos ataques demonstrados no paper refere-se ao uso do patch Suhoshin, justamente criado para delimitar ataques em códigos PHP, atuando como uma espécie de filtro de chamadas perigosas.

Uma leitura que realmente vale a pena.

Link: http://www.ush.it/team/ush/hack-phpfs/phpfs_mad.txt

Curso: Web Application Hacking 29/11

Pessoal, estou fechando uma turma agora dia 29/11. Convido a todos que tenham interesse de participar. Me enviem um email para maiores informações ou então acesssem a parte “Academy”.

Preço especial para quem citar este link.

Aguardo a todos.

Good Hacking 4 All.

Book of Month: October

Metasploit Toolkit for Penetration Testing, Exploit Development, and Vulnerability Research
Author: James Foster
Publisher: Syngress
Year: 2007
Pages: 352
Amazon’s book description: This is the first book available for the Metasploit Framework (MSF), which is the attack platform of choice for one of the fastest growing careers in IT security: Penetration Testing. The book and companion Web site will provide professional penetration testers and security researchers with a fully integrated suite of tools for discovering, running, and testing exploit code.

FireCAT: Firefox Catalog of Auditing exTension

FireCAT (Firefox Catalog of Auditing exTension) is a mindmap collection of the most efficient and useful firefox extensions oriented application security auditing and assessment

PNG - 167.7 kb

Changes for version 1.4

Information Gathering (Enumeration and Fingerprinting)
- Passive Recon : PassiveRecon allows Information Security professionals the ability to perform “packetless” discovery of target resources utilizing publicly available information (Thanks to Kev Orrey)

Security Auditing
- Selenium IDE : Selenium is a test tool for web applications. Selenium tests run directly in a browser, just like real users do
- RESTTest : Construct custom HTTP requests to directly test requests against a server. RESTTest uses the XmlHttpRequest object and allows you to simulate XHR to quickly prototype requests and test security problems. Designed specifically for working with REST sources, supporting all HTTP methods
- Acunetix Firefox plugin: Read here a good review by Kev Orrey. Extension submitted by Kev Orrey from VulnerabilityAssessment

IT Security Related
- Added Milw0rm Exploits Search (Thanks to Kev Orrey)

- Fixed HashMDTool link
- Fixed OSVB extension link
- Fixed US Homeland Security Threat link