SQL injection e XSS exploiting addons per Firefox

Una azienda canadese, Security Compass sta rilasciando una suite di addons per Firefox dal nome Exploit-me. Al momento sono disponibili due moduli: XSS-me e SQL inject-me.

La prima delle due, quando viene lanciata, esamina la pagina scelta e i form presenti, consentendo di scegliere contro quale campo lanciare gli attacchi presenti nel suo archivio, derivati dalla lista mantenuta da RSnake, (l’autorità assoluta in materia).
Gli attacchi provati sono di tipo1, ovvero “reflected XSS”, presenti in web application vulnerabili perché non effettuano un controllo sulla presenza di contenuti attivi nei parametri di input al browser permettendo all’attaccante di inettare del codice nell’url.

Sono disponibili varie opzioni di configurazione, come la scelta del numero di attacchi da provare, o la possibilità di aggiungerne altri.

La seconda, con un modus operandi molto simile, prova alcune stringhe di SQL injection e restituisce eventuali messaggi di errore dal server (niente di più.. cosa vi aspettavate? :twisted: ).

Nessuna delle due finalizza ovviamente l’attacco a eventuali buchi trovati, (nessun tool magico per script kiddies quindi) ma entrambe possono essere utili ad automatizzare un controllo di sicurezza nelle pagine.

Da provare.

Annunci

2 Risposte to “SQL injection e XSS exploiting addons per Firefox”

  1. […] SQL injection e XSS exploiting addons per Firefox « Fare, disfare e rifare […]

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: