La vulnerabilidad Cross-Site Scripting o XSS es la falla incluida en las 10 vulnerabilidades principales de OWASP. En esta falla de seguridad, el atacante genera un código malicioso de JavaScript Payload que tiene la intención de robar las cookies de la víctima o realizar una toma de control de la cuenta. A veces, esta falla puede crear un problema grave en el back-end de la aplicación web. El código malicioso se transmite a través de las entradas del usuario, los parámetros, los archivos cargados, etc. Si la información se maneja correctamente antes de enviarla al servidor web, la aplicación se puede salvar de un ataque XSS.
XSS-Loader: kit de herramientas de inyección XSS
XSS-Loader es un conjunto de herramientas que permite al usuario crear cargas útiles para la inyección de XSS, escanear sitios web en busca de posibles explotaciones de XSS y usar el poder del motor de búsqueda de Google para descubrir sitios web que pueden ser vulnerables a la vulnerabilidad XSS. La herramienta XSS-Loader está desarrollada en lenguaje Python. La herramienta XSS-Loader es de código abierto, de uso gratuito y está disponible en GitHub. Esta herramienta admite varios tipos de generación de carga útil como:
- CARGA DIV
- CARGA DE MUTACIÓN
- CARGA BÁSICA
- CARGA ÚTIL SUPERIOR, etc.
Esta herramienta es compatible con el escaneo XSS en la URL del dominio de destino. La carga útil ejecutada se muestra con la URL completa en el propio terminal.
Nota : asegúrese de tener Python instalado en su sistema, ya que esta es una herramienta basada en Python. Haga clic para verificar el proceso de instalación: Pasos de instalación de Python en Linux
Instalación de la herramienta XSS-Loader en el sistema operativo Kali Linux
Paso 1 : use el siguiente comando para instalar la herramienta en su sistema operativo Kali Linux.
git clone https://github.com/capture0x/XSS-LOADER/
Paso 2 : ahora use el siguiente comando para moverse al directorio de la herramienta. Tienes que moverte en el directorio para ejecutar la herramienta.
cd XSS-LOADER
Paso 3 : Estás en el directorio de XSS-Loader. Ahora debe instalar una dependencia de XSS-Loader usando el siguiente comando.
sudo pip3 install -r requirements.txt
Paso 4 : todas las dependencias se han instalado en su sistema operativo Kali Linux. Ahora use el siguiente comando para ejecutar la herramienta y verifique la sección de ayuda.
python3 payloader.py -h
Trabajar con la herramienta XSS-Loader en el sistema operativo Kali Linux
Ejemplo 1 : CARGA ÚTIL BÁSICA
Select Option 1 -> BASIC PAYLOAD
En este ejemplo, estamos generando una carga útil básica para XSS.
Select Option 20 -> MUTATION PAYLOAD
La herramienta ha generado la carga útil mutacional.
Ejemplo 2 : INGRESE SU CARGA ÚTIL
Select Option 6 -> ENTER YOUR PAYLOAD
En este ejemplo, estamos especificando nuestra propia carga útil personalizada.
Hemos proporcionado nuestra carga útil personalizada como entrada a la herramienta.
Select Option 1 -> UPPER CASE
Estamos cambiando nuestra carga útil de minúsculas a mayúsculas.
Nuestra carga útil personalizada se cambia de minúsculas a mayúsculas.
Ejemplo 3 : ESCÁNER XSS
Select Option 7 -> XSS SCANNER
En este ejemplo, estamos probando el dominio de destino para la falla de seguridad XSS.
Target URL -> http://testphp.vulnweb.com/search.php?test=query
Hemos especificado la URL del dominio de destino.
Select Option 1 -> BASIC PAYLOAD LIST
Estamos utilizando la Lista de carga útil básica que se probará en el dominio de destino.
Se inicia el proceso de prueba.
Ejemplo 4 : XSS DORK FINDER
Select Option 8 -> XSS DORK FINDER
En este ejemplo, utilizaremos XSS Dork Finder para la búsqueda avanzada.
Publicación traducida automáticamente
Artículo escrito por gauravgandal y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA