Archivo

Posts Tagged ‘dom xss aplicaciones web’

Utilizando XSSF en MetaSploit Framework – Explotando XSS

mayo 27, 2011 2 comentarios

Xssf Framework permite administrar victimas de ataques XSS genéricos y persiste una conexión con dichas victimas por medio de un “loop” en javascript, el cual se encarga de enviar peticiones reversas en intervalos definidos de tiempo con el fin de ejecutar exploits contra la victima.

Para usar xssf en metasploit es necesario localizar una aplicación vulnerable a ataques XSS, para probar y mejorar habilidades en el campo de la seguridad en aplicaciones web, existe un proyecto llamado DVWA (Damn Vulnerable Web Application), se trata de una aplicación escrita en PHP y MySQL que tiene habilitadas una serie de vulnerabilidades que permite a un profesional en seguridad, interactuar con la aplicación y comprender mejor los posibles ataques que pueden llevarse a cabo en aplicaciones web.

Leer más…

Integrando Herramientas del Arsenal: Beef y MetaSploit Framework

mayo 25, 2011 7 comentarios

Integrando Beef y MetaSploit Framework

Tal vez algunos que vengáis siguiendo este blog, ya conocéis las posibilidades que brinda MetaSploit para una fácil integración con otras herramientas relacionadas con pruebas de penetración, en este caso, Beef puede ser integrada y extendida con la potencia que lleva consigo MetaSploit Framework, partiendo de este punto, es posible ejecutar exploits y payloads contra victimas de ataques XSS administradas por Beef, la forma de integrar Beef y MetaSploit es muy sencilla y se basa en el uso del plugin xmlrpc de MetaSploit Framework, ya que permite crear un servicio que se encontrará en estado de “escucha” esperando a que nuevos clientes intenten conectarse a él (de una forma muy similar a como se hace con Nikto). Los pasos a seguir son los siguientes:

Leer más…

Automatizando Ataques XSS utilizando BEEF

mayo 24, 2011 11 comentarios

BEEF

Beef es una herramienta bastante útil y completa para automatizar ataques XSS contra clientes de aplicaciones web vulnerables, consiste en el uso de vectores de ataque XSS clásicos de forma automatizada, donde Beef, controla a todas las víctimas de este tipo de ataques y permite ejecutar diferentes tipos de payloads contra el objetivo, ademas de capturar información sobre la víctima, tales como sistema operativo utilizado, navegador, dirección IP, cookies, entre otra información valiosa.

Unas de las potencialidades que tiene esta herramienta es que se instala muy fácilmente ademas de que se integra con una serie de exploits manejados directamente por MetaSploit con el fin de conseguir penetrar en la maquina del objetivo, aunque este mecanismo de instalación es el mas sencillo, también se encuentra obsoleto, actualmente esta herramienta se encuentra en constante desarrollo y se ha migrado completamente a Ruby, a continuación se indica como instalar Beef de ambas formas.

Leer más…

Explotando vulnerabilidades XSS en aplicaciones Web

mayo 23, 2011 2 comentarios

Una vez comprendidos los conceptos indicados en la entrada anterior (ver aquí) se procede a indicar casos prácticos de como un ataque XSS puede ser llevado a cabo sobre una aplicación web vulnerable. Para realizar algunas pruebas sobre XSS, es necesario en primer lugar tener una aplicación web vulnerable, para esto es necesario seguir la entrada anterior correspondiente a entornos de pruebas en (ver aquí)

Leer más…

Conceptos Básicos sobre Vulnerabilidades XSS en Aplicaciones Web

mayo 21, 2011 Deja un comentario

CONCEPTOS BÁSICOS VULNERABILIDADES XSS EN APLICACIONES WEB

Se trata de una de las vulnerabilidades más comunes en aplicaciones web, también unas de las mas antiguas, sin embargo este tipo de ataques frecuentemente son los mas exitosos y con mayor nivel de evolución dado que con bastante continuidad surgen técnicas cada vez mas elaboradas para conseguir alguna forma de XSS sobre una aplicación Web.

Los ataques XSS se diferencian en varias categorías, cada una con sus propias características, no obstante conocerlas todas amplia el espectro de ataque ya que algunas aplicaciones web, son más vulnerables a unas que a otras. Las categorías de dichas vulnerabilidades son las siguientes.

Leer más…

A %d blogueros les gusta esto: