SQL injection e XSS exploiting addons per Firefox

Una azienda canadese, Security Compass sta rilasciando una suite di addons per Firefox dal nome Exploit-me. Al momento sono disponibili due moduli: XSS-me e SQL inject-me.

La prima delle due, quando viene lanciata, esamina la pagina scelta e i form presenti, consentendo di scegliere contro quale campo lanciare gli attacchi presenti nel suo archivio, derivati dalla lista mantenuta da RSnake, (l’autorità assoluta in materia).
Gli attacchi provati sono di tipo1, ovvero “reflected XSS”, presenti in web application vulnerabili perché non effettuano un controllo sulla presenza di contenuti attivi nei parametri di input al browser permettendo all’attaccante di inettare del codice nell’url.

Sono disponibili varie opzioni di configurazione, come la scelta del numero di attacchi da provare, o la possibilità di aggiungerne altri.

La seconda, con un modus operandi molto simile, prova alcune stringhe di SQL injection e restituisce eventuali messaggi di errore dal server (niente di più.. cosa vi aspettavate? :twisted: ).

Nessuna delle due finalizza ovviamente l’attacco a eventuali buchi trovati, (nessun tool magico per script kiddies quindi) ma entrambe possono essere utili ad automatizzare un controllo di sicurezza nelle pagine.

Da provare.