XSS-ME : Addon para Firefox de Análise de XSS

O XSS-me é um dos módulos de análise da suíte EXPLOIT-ME. Ela foi concebida pela empresa SECCOM Labs com o intuito de facilitar testes de segurança em aplicações web, fazendo com que a varredura de vulnerabilidades conhecidas como as TOP 10, ou seja, as que estão mais presentes, sejam detectadas em Forms e Inputs dentro de páginas web.

Basicamente o XSS-Me foi criado para testes utilizando vulnerabilidades de Reflected Cross-Site Scripting, e não Stored XSS.

A ferramenta trabalha enviando seu HTML forms e substituindo o valor do Form com strings que seriam utilizadas para explorar falhas de XSS attacks.

Se o resultado do HTML contiver um valor específico de JavaScript (document.vulnerable=true) significa que a página está vulnerável para aquela determinada string de XSS.

Um ponto importante que deve ser citado é que a ferramenta não  faz nenhuma tentativa de comprometer a segurança do sistema alvo. Ela procura por possíveis pontos de vulnerabilidade contra o sistema.  Desta forma não é efetuado nenhum tipo de port scanning, packet sniffing, password cracking ou firewall attacks a partir da ferramenta.

A ferramenta simplesmente automatiza o que um QA tester faria no site manualmente, injetando ele mesmo diretamente no browser as strings diretamente nos form fields.

A imagem acima mostra a SideBar do XSS-Me me mostrando as opções disponíveis quando eu abro o site do Google.  Automaticamente ela identifica as URLs que estão como links no Form e você pode testar o Form ou os Links que estão disponíveis nele.

Quando se escolhe o Form podemos escolher Strings específicas, rodar todos os Testes, ou optar por executar o Top 9 Tests, que irá varrer procurando pelas strings mais conhecidas.

O Xss-ME detecta todos os tipos de Cross-site Scriping ?

A resposta é óbvia: Não. O Xss-Me detecta muitos tipos de Reflected Cross-Site Scripting nos campos dos forms. Infelizmente ele não tem métodos para realmente efetuar o ataque de XSS (exemplo, um stored cross-site scripting precisa de dados fornecidos pelo usuário, ou então utilizar outras fontes como Cookies, links, ou Headers HTTP).   Porém novos vetores de XSS estão sendo descobertos o tempo todo e um dos pontos fortes do XSS-Me é que permite que você adicione novas strings de acordo com sua necessidade específica.

Para adicionar novas Assinaturas,  use o XSS-Strings Options , no menu Tools -> Xss-Me -> Options. Adicione o ataque em “Attack String”. Lembre-se que o ataque deve conter a string “document.vulnerable=true” no resultado do JavaScript para que a ferramenta possa interpretar o resultado corretamente. Por exemplo:

<script>document.vulnerable=true</script>

Resultados

Xss-Me tem 3 tipos de resultados:

Failures:  O número de testes que certamente resultaram na detecção de Reflected XSS.

Warnings: O número de testes que podem possivelmente resultar na detecção de um cross-site scripting, porém não pode validar com certeza porque o plugin não modifica o DOM Object no Firefox como é especificado no JavaScript, mas ele pode resultar em um ataque com sucesso em um browser diferente.

Pass: O número de testes que não resultaram em  detecção de reflected XSS

No próximo artigo iremos ver a outra ferramenta da Suite chamada  SQL-Me que atua da mesma forma porém utilizando testes de SQL-Injection.

Fontes:

http://labs.securitycompass.com/index.php/exploit-me/xss-me

Vulnerable Web Applications – Simuladores para Estudo

Hoje não há o que discutir quando o assunto é a segurança das aplicações desenvolvidos para a web em sua corporação, ou então as que são disponibilizadas para usuários. Apesar do grande número de técnicas e estratégias para aumentar a segurança existentes, a última grande camada, que irá de fato aumentar a segurança da aplicação é sem dúvida, o próprio desenvolvedor.

Ainda hoje, apesar de segurança ter se tornado uma matéria interdisciplinar e estar presente em todos os âmbitos onde hajam profissionais de tecnologia, existe uma lacuna gigantesca entre o que é preciso fazer para de fato aumentar a segurança e o que é possível fazer levando em conta o cronograma onde os projetos são desenvolvidos, e onde muitas vezes por falta de planejamento estratégico adequado do Core Team, a segurança é relegada a pequenos aspectos, que muitas vezes são apenas o inicio do todo trabalho.

Muitas vezes, durante os estudos fica difícil para iniciantes conseguir aplicar e visualizar alguns conceitos de vulnerabilidades e ataques em aplicações web, e isso acaba tornando a experiência algo difícil de ser absorvido. Pensando nisto, resolvi publicar um artigo voltado a alguns frameworks para estudo e simulação de explorações de vulnerabilidades em aplicações web.

Com estes frameworks você poderá ver na prática o efeito das principais vulnerabilidades, suas contra-medidas, assim como abrir a mente no que diz respeito a possíveis formas de mitigação destes tipos de ataque.  Utilizando uma plataforma das 3 que irei falar abaixo, certamente você verá que o entendimento destes tópicos se tornará muito mais interessante (e divertido).

DVWA (Damn Vulnerable Web Application) – Este framework consiste basicamente de uma aplicação vulnerável em PHP/MySQL onde você pode testar suas habilidades em SQL Injection, XSS, Blind SQL Injection, etc.  O DVWA é desenvolvido por Ryan Dwhurst e faz parte de um projeto OpenSource da RandomStorm

http://www.dvwa.co.uk

Hackxor – É um web application hacking game. Neste game o jogador precisa localizer e explorer vulnerabilidades para progredir através da história do jogo, como se fosse um hacker contratado para rastrear outro hacker, usando todos os meios necessários. Ele contem scripts vulneraveis a Cross Site Scripting (XSS), Cros Site Request Forgery (CSRF), Structured Query Language Injection (SQLi), Remote Command Injection (RCE) e muitos outros.

http://sourceforge.net/projects/hackxor

WebGoat – É um projeto da OWASP (Open Web Application Security Project) onde você possuirá uma interface deliberadamente insegura disponibilizada em J2EE, onde você encontrará diversas lições e exercícios, onde poderá aprender de forma bem didática, com exemplos e exercícios de diversos níveis de dificuldade. O mais legal dessa web application e que permite ao usuário demonstrar seu entendimento de uma determinada falha de segurança explorando uma vulnerabilidade real em cada lição.

http://code.google.com/p/webgoat

Todas são geralmente muito simples de utilizar e começar a brincar. Acredito que é sempre bom deixar bem claro aqui que, obviamente a segurança dessas aplicações é algo praticamente inexistente, sendo assim, não hospedem estes recursos em servidores de produção (nunca é demais lembrar eheh), pois fatidicamente vocês serão hackeados, e não será apenas de brincadeira. :)

Curso: Pentest em Aplicações Web 20/9

Local: São Paulo – SP

Descrição: Hoje web applications estão tomando um lugar muito importante em grandes corporações, sendo assim é importante estar preparado para responder a incidentes de segurança antes que eles ocorram.

Este curso visa mostrar as principais vulnerabilidades existentes nas mais diferentes linguagens de programação como por exemplo ASP, PHP, JSP e Ajax. Abordaremos as principais técnicas de exploração e mostrar o risco que cada vulnerabilidade pode acarretar.

Entre os tópicos abordados teremos:

– Injection Flaws (SQL, XML, Numeric, Blind e String Injections);

– Cross-Site Scripting (XSS, XSFR, CSFR, etc..);

– Ajax Hacking (JSON, DOM, XML inject, eval(), etc…);

Para maiores informações favor entrar em contato pelo e-mail: anderson@rootsecurity.com.br.

Turmas:

Turmas	Status
20/09/2008	ABERTA

Tracking Web Application Hacking 2008

Convido todos os visitantes deste blog de São Paulo/Capital e região à participar de um Tracking de Segurança cujo tema é Web Application Hacking. O tracking consiste de um curso com a duração de um Sábado (das 9:00 as 19:00) com conteúdo voltado a testes de penetração em aplicações Web. Totalmente interativo e dinámico, todos os tópicos serão abordados utilizando alto conteúdo teórico, challenges e laboratórios utilizando exemplos que visam adequar todo o conteúdo a realidade.

Entre os Tópicos abordados teremos:

– Code Quality Audit

– SQL Injection (sql/mysql)

– XSS

– XSFR

– Session Hijacking

– Remote File Injections

– Local File injections

– Data Tampering

– Veb Tampering

– Ajax Hacking

– HTTP Splitting Attacks

– Cookies Stealt

Entre muitos outros.

Para o conteúdo programático completo, datas e conteúdo utilizado  assim como valor, favor entrar em contato com pelo email anderson@rootsecurity.com.br

As datas serão divulgadas assim que as turmas de 15 pessoas estiverem completas. O valor é acessível e acredito que seja uma grande adição ao curriculum de profissionais de segurança.

Aguardo.