Refletor - Plugin Burp capaz de encontrar site com falhas XSS em tempo real - Anonymous Hacker

[Latest News][10]

Adobe
Análise de Vulnerabilidade
ANDROID
ANONYMOUS
Anti Vírus
ANTI-DDOS
ANTI-SPYWARES E ADWARES
Antivírus
APK PRO
APOSTILAS
apps
Ativador
CIÊNCIA
Compartilhadores
Computador pc
CURSO PHP
CURSO TCP / IP
CURSOS
Cursos Diversos
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
Desenvolvimento Web
DICAS
Diversos
DOCUMENTARIO
DoS
Editor de Áudio
Editor de Imagem
Editor de Texto
Editor de Vídeo
Engenharia
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
Fundamentos financeiros
Gravadores
Internet
INVASÕES
IPHONE
JOGOS
KALI LINUX
Limpeza e Utilitários
Lixão
MAC OS
macOS
Malware
Manutenção de Pcs
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Produtividade
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
Seo
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
tools
Utilitários
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Refletor - Plugin Burp capaz de encontrar site com falhas XSS em tempo real

A extensão Burp Suite é capaz de encontrar o XSS refletido na página em tempo real ao navegar no site e incluir alguns recursos como:
  • Destaque da reflexão na guia de resposta.
  • Teste quais símbolos são permitidos nesta reflexão.
  • Análise do contexto de reflexão.
  • Lista branca do tipo conteúdo.
Como usar
Após a instalação do plugin, você só precisa começar a trabalhar com o aplicativo web testado. Toda vez que a reflexão é encontrada, o refletor define a gravidade e geraproblemas de burp .

Refletor - Plugin

Cada questão de burp inclui informações detalhadas sobre o parâmetro refletido, como:
  • Símbolos permitidos nesta reflexão.
  • Destaque do valor da reflexão em resposta.
  • Análise de contexto de reflexão.

Permitiu sybmols analisar


Quando a reflexão é encontrada e a opção "Modo agressivo" é ativada, o refletor verificará quais símbolos especiais são exibidos nesta página a partir de parâmetros vulneráveis. Para essa ação, o reflector compõe solicitações adicionais para cada parâmetro refletido. No exemplo, enquanto trabalhávamos com o refletor do site elkokc.ml são gerados problemas com uma informação detalhada sobre a reflexão. Existem 3 reflexos para o parâmetro de "pesquisa" e cada um deles passa de símbolos especiais. Por causa da possibilidade de exibir a gravidade da gravidade dos caracteres especiais, é marcada como alta. Toda vez que a reflexão é encontrada, o refletor define a gravidade e gera problemas de burp .

Análise de Contexto

No refletor do modo "Verificar contexto", não é apenas mostrar caracteres especiais que são refletidos na página, mas também descobrir um caractere que permite quebrar a sintaxe no código da página. No exemplo, você pode ver a resposta do servidor por extensão do refletor. O parâmetro "pesquisa" foi enviado com uma carga útil - p @ y <"' p @ y . Como resultado, isso foi refletido algumas vezes em contextos diferentes.
  • Reflexão com os próximos caracteres - ', ", <e a dupla citação permite sair deste contexto e escrever código HTML.
  • Reflexão com os próximos caracteres - ", <e o suporte permite injetar tags HTML.
  • Reflexão com os próximos caracteres - ', ", <e a citação única permite sair do contexto da variável js e escrever código malicioso.

Na informação do problema está marcado como:
  • Carácter contextual - caractere que permite breake a sintaxe.
  • Outros caracteres - outros caracteres que são refletidos sem contexto.
Refletor - Plugin Burp

Navegação de reflexão
Navegação por botões de seta na guia de resposta.


Configurações
  • Somente escopo: permita que o refletor funcione apenas com um escopo de sites adicionados.
  • Modo Agressivo - o refletor gera solicitação adicional com uma carga útil de teste.
  • Verificar contexto - ativar verificar o modo de contexto.
Além disso, você pode gerenciar a lista branca de tipos de conteúdo com o qual o plugin do refletor deve funcionar. Mas se você usar outro tipo, exceto o texto / html, isso pode levar a desaceleração no trabalho.
Refletor


Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search