Rastreando #XSS con Sleepy Puppy

Cross Site Scripting (XSS) es una vulnerabilidad que permite ejecutar código JavaScript en el navegador de la víctima sin su consentimiento. Por ejemplo, un XSS permite a un atacante, entre muchas posibilidades, mostrar el clásico mensaje mediante un pop-up, redirigir el navegador de la víctima a un sitio de terceros o robar las cookies de su sesión.

La herramienta que ocupa esta entrada es Sleepy Puppy y fue lanzada por Netflix en 2015 (sí, la Netflix que todos conocemos). Ésta permite, principalmente, mediante la inyección de determinados payloads en JavaScript, seguir la traza de las vulnerabilidades XSS obteniendo información de las víctimas del ataque. La información obtenida de éstas abarca desde cookies, hasta su user-agent, el código del DOM o una captura del sitio afectado (entre muchas más posibilidades).

La siguiente imagen (obtenida del blog de Netflix) muestra el proceso:

(fuente: http://techblog.netflix.com/2015/08/announcing-sleepy-puppy-cross-site.html)

En la imagen se observa que un atacante puede introducir un payload XSS en determinada parte de una aplicación, por ejemplo, como comentario a una entrada de un blog. Suponiendo que exista una vulnerabilidad de Cross Site Scripting al mostrar el comentario, todos los usuarios que visiten la entrada quedarán registrados en el panel de control de Sleepy Pyppy.

Read More

Regreso + Búsqueda pasiva de XSS mediante Python !

Así es , vuelvo a los ruedos por aquí de mi querido blog. Las vacaciones se demoraron unos 17 días, asi que estoy plenamente desactualizado, ya que me ocupe de recuperar todas las energías gastadas durante el año.

Y, que mejor que volver con algo de Python, ¿ no ?  Ésta vez de la mano de StateX les traigo una forma de realizar un parseo de vulnerabilidades XSS utilizando como referencia el sitio XSSposed.

Read More