Cross-Site Scripting, meglio conosciuta come XSS, è una vulnerabilità che se sfruttata consente a un attaccante l'inserimento di un codice JavaScript (JS) o VBScript all'interno di un form in grado di alterare il comportamento della pagina web. Lo scopo di questo attacco può essere l'ottenimento di informazioni protette, un possibile attacco di tipo XSS può reindirizzare tutti gli utenti verso un sito nocivo in grado di leggere e memorizzare i cookie degli utenti oppure spingerli a riautenticarsi su un portale creato ad hoc incappando in un attacco di tipo phishing.
Questa tecnica, insieme alle SQL Injection, è ormai diventata la forma di attacco più comune tra quelle sfruttate da malintenzionati; illustreremo in questo articolo i principali software in grado di automatizzare la ricerca di XSS Injection all'interno di siti web.
XSSer
XSSer è un software open source che automatizza il processo di individuazione e sfruttamento delle vulnerabilità Cross-Site Scripting (XSS). Il software è sviluppato in Python ed è estremamente facile da usare da riga di comando, le sue principali caratteristiche sono tra le altre:
- impostazione di User-Agent personalizzati;
- autenticazione HTTP – Basic / Digest;
- supporto proxy;
- supporto a diverse tecniche di evasione;
- custom XSS payloads.
Per utilizzarlo basterà digitare da riga di comando:
$ xsser -u www.sitodaanalizzare.com
Per chi si trova meglio con un interfaccia grafica è possibile avviarla attraverso il seguente
comando:
$ xsser --gtk
Download: XSSer
XSSSniper
XSSSniper è una utility in Python, sviluppata dall'italiano Gianluca Brindisi, in grado di testare automaticamente XSS Injection nei siti web. Il tool è veloce nella scansione e versatile nelle opzioni offerte. Tra le caratteristiche più interessanti offerte vi è la possibilità di effettuare una scansione sfruttando la rete Tor, rendendo di fatto difficilmente rintracciabile l'IP dell'utente che lo sfrutti. L'utilizzo è estremamente semplice basterà infatti digitare da riga di
comando:
$ python xsssniper.py -u www.sitodaanalizzare.com --crawl --tor
Tramite l'opzione crawl attiviamo la scansione dei collegamenti collegati ad una URL, mentre con l'argomento tor schermiamo il nostro test usando una versione di Tor attiva sulla nostra Linux-box.
Download: XSSSniper
XSSploit
XSSploit è un software scritto in Python gestibile attraverso una comoda interfaccia grafica; è stato sviluppato per aiutare il rilevamento e lo sfruttamento di
vulnerabilità XSS nelle fasi di penetration test.
Il software avvia l'analisi di un sito web individuando inizialmente tutti i form disponibili sul sito web, successivamente procede ad una vera analisi di rilevamento di vulnerabilità XSS. Le vulnerabilità rilevate possono essere sfruttate direttamente dal software in grado di generare automaticamente i link HTML corrispondenti includendo il payload dell'exploit.
Download: XSSploit
W3AF
W3AF è un ottimo web scanner Open Source in grado di individuale diverse vulnerabilità in un'applicazione web, tra queste vi è anche l'individuazione di falle di tipo XSS. W3af è
software scritto in Python e gode di un'ottima interfaccia grafica ma per i più nostalgici è possibile usarlo anche da riga di comando.
All'interno del software vi sono diverse categorie le quali rendono più comprensibile la distinzione delle vulnerabilità, nel nostro caso dovremo selezionare l'opzione XSS all'interno della categoria "Audit" una volta impostato il sito target sarà possibile avviare la scansione. Per chi preferisce effettuare una scansione da riga di comando potrà richiamare w3af digitando il comando "w3af_console".
Download: W3AF