[How-To]XSSer automatic tool for pentesting XSS

Posted on: 9 January 2012

XSSer si aggiorna alla versione 1.6 :)

Dal sito ufficiale:

Cross Site “Scripter” is an automatic -framework- to detect, exploit and report XSS vulnerabilities in web-based applications.It contains several options to try to bypass certain filters, and various special techniques of code injection.

In questa versione sono stati aggiunti filtri per bypassare anche phpids, sono stati fixati alcuni bug e migliorate le perfomance :)

In backbox o in altre distribuzione debian based l’installazzione potrà essere fatta da pacchetto deb, altrimenti instalalre xsser è molto semplice :)
Scarichiamo l’ultima versione svn digitando:

svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser
Installiamo le dipendenze:
sudo apt-get install python-setuptools

sudo -s
python setup.py install
Ora possiamo avviare xsser digitando:
xsser
Per avviare la modalità grafica basata sulle lib gtk, e più intuitiva digitiamo:
xsser --gtk

Per avere un help dei comandi digitiamo:
xsser -h

Un esempio di query con google potrebbe essere:
inurl:rcommentid= error=

Che sfrutta un bug in un plugin wordpress molto usato:
Google reCAPTCHA WordPress Plugin – Reflected Cross-Site Scripting ( XSS ) Vulnerability
(http://localhost/comment-page-1/?rcommentid=(id number)&rerror=XSS)

This entry was posted on Monday, January 9th, 2012 at 2:54 pm and is filed under GNU/Linux, Hacking, Software. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.