Archive for the XSS Category

SQL injection e XSS exploiting addons per Firefox

Posted in Exploit, Hack, Sicurezza, XSS on novembre 28, 2007 by ravem

Una azienda canadese, Security Compass sta rilasciando una suite di addons per Firefox dal nome Exploit-me. Al momento sono disponibili due moduli: XSS-me e SQL inject-me.

La prima delle due, quando viene lanciata, esamina la pagina scelta e i form presenti, consentendo di scegliere contro quale campo lanciare gli attacchi presenti nel suo archivio, derivati dalla lista mantenuta da RSnake, (l’autorità assoluta in materia).
Gli attacchi provati sono di tipo1, ovvero “reflected XSS”, presenti in web application vulnerabili perché non effettuano un controllo sulla presenza di contenuti attivi nei parametri di input al browser permettendo all’attaccante di inettare del codice nell’url.

Sono disponibili varie opzioni di configurazione, come la scelta del numero di attacchi da provare, o la possibilità di aggiungerne altri.

La seconda, con un modus operandi molto simile, prova alcune stringhe di SQL injection e restituisce eventuali messaggi di errore dal server (niente di più.. cosa vi aspettavate? :twisted: ).

Nessuna delle due finalizza ovviamente l’attacco a eventuali buchi trovati, (nessun tool magico per script kiddies quindi) ma entrambe possono essere utili ad automatizzare un controllo di sicurezza nelle pagine.

Da provare.

Annunci

Webcam che sorvegliano… si ma cosa?

Posted in Exploit, Hack, Hardware, Sicurezza, XSS on ottobre 9, 2007 by ravem

Una azienda britannica ha recentemente dimostrato svariate vulnerabilità nel firmware di un modello abbastanza diffuso di webcam di sorveglianza: la Axis 2100.
Axis 2100Queste telecamere sono dotate di un webserver interno che consente di accedere al video ripreso in remoto.

Il webserver è però vulnerabile a attacchi XSS che permettono di iniettare del codice, consentendo, ad esempio, di embeddare dei contenuti nella pagina.
Non vi è chiaro cosa vuol dire?
Bè pensate se il contenuto embeddato nella pagina è il video ripreso da un’altra webcam.. Voi pensate di vedere le riprese della vostra webcam e invece vedete quello che l’intruso vi propina.
Una delle tecniche più classiche dei film di spionaggio:)

Una applicazione della tecnica è stata presentata a Defcon dalla azienda che l’ha scoperta, Procheckup, ed è visibile su Youtube.

Se poi avete tempo da perdere a cercare su Google, vedrete che le webcam della Axis sono abbastanza diffuse.