[Ferramentas Hacker] XSSF

02/07/2011 11:27

O XSSF é uma ferramenta voltada para pentests (testes de invasão) com foco em vulnerabilidades do tipo XSS (Cross-Site Scripting), o seu propósito é tornar o processo de exploração desse tipo falha mais fácil e rápido.

Com o XSSF você consegue testar aplicações web, sites e até mesmo navegadores, em busca de vulnerabilidades XSS, se for encontrado alguma falha , você ainda pode tentar fazer a invasão utilizando exploits prontos ou criados por você.

Um ponto forte do XSSF é que ele é integrado ao Metasploit, dessa forma você pode utilizar módulos MSF (Metasploit Framework), além disso ele fornece uma poderosa API documentada, facilitando o desenvolvimento de novos módulos e ataques.

A instalação do XSSF é bemmm simples:

1- Como o XSSF se integra ao Metasploit, antes de tudo você precisa ter o próprio metasploit instalado em seu SO (Linux, MAC ou Windows), por isso baixe e instale o Metasploit. Com o Metasploit instalado, atualize o Ruby para a versão 1.9 (caso esteja com uma versão anterior).

2- Baixe o XSSF diretamente de sua página oficial no Google Code. Após o download, descompacte-o e copie todos os arquivos para a pasta do Metasploit (/msf3/), esta pasta esta localizada no diretório aonde todos os programas são instalados. Feito isso basta utilizar o XSSF.

Na página do XSSF você ainda encontra alguns vídeos aonde é mostrado o XSSF em ação, veja abaixo um deles:

No vídeo acima o atacante explorar uma vulnerabilidade XSS e consegue invadir um aparelho com o sistema operacional Android.

Para obter mais informações sobre o XSSF acesse o seu Google Code.

Links dessa matéria: