ANDROID

[ANDROID][bsummary]

FACEBOOK

[FACEBOOK][twocolumns]

NOTÍCIAS

[NOTÍCIAS][bleft]

KALI LINUX

[KALI LINUX][grids]

Refletor - Plugin Burp capaz de encontrar site com falhas XSS em tempo real

A extensão Burp Suite é capaz de encontrar o XSS refletido na página em tempo real ao navegar no site e incluir alguns recursos como:
  • Destaque da reflexão na guia de resposta.
  • Teste quais símbolos são permitidos nesta reflexão.
  • Análise do contexto de reflexão.
  • Lista branca do tipo conteúdo.
Como usar
Após a instalação do plugin, você só precisa começar a trabalhar com o aplicativo web testado. Toda vez que a reflexão é encontrada, o refletor define a gravidade e geraproblemas de burp .

Refletor - Plugin

Cada questão de burp inclui informações detalhadas sobre o parâmetro refletido, como:
  • Símbolos permitidos nesta reflexão.
  • Destaque do valor da reflexão em resposta.
  • Análise de contexto de reflexão.

Permitiu sybmols analisar


Quando a reflexão é encontrada e a opção "Modo agressivo" é ativada, o refletor verificará quais símbolos especiais são exibidos nesta página a partir de parâmetros vulneráveis. Para essa ação, o reflector compõe solicitações adicionais para cada parâmetro refletido. No exemplo, enquanto trabalhávamos com o refletor do site elkokc.ml são gerados problemas com uma informação detalhada sobre a reflexão. Existem 3 reflexos para o parâmetro de "pesquisa" e cada um deles passa de símbolos especiais. Por causa da possibilidade de exibir a gravidade da gravidade dos caracteres especiais, é marcada como alta. Toda vez que a reflexão é encontrada, o refletor define a gravidade e gera problemas de burp .

Análise de Contexto

No refletor do modo "Verificar contexto", não é apenas mostrar caracteres especiais que são refletidos na página, mas também descobrir um caractere que permite quebrar a sintaxe no código da página. No exemplo, você pode ver a resposta do servidor por extensão do refletor. O parâmetro "pesquisa" foi enviado com uma carga útil - p @ y <"' p @ y . Como resultado, isso foi refletido algumas vezes em contextos diferentes.
  • Reflexão com os próximos caracteres - ', ", <e a dupla citação permite sair deste contexto e escrever código HTML.
  • Reflexão com os próximos caracteres - ", <e o suporte permite injetar tags HTML.
  • Reflexão com os próximos caracteres - ', ", <e a citação única permite sair do contexto da variável js e escrever código malicioso.

Na informação do problema está marcado como:
  • Carácter contextual - caractere que permite breake a sintaxe.
  • Outros caracteres - outros caracteres que são refletidos sem contexto.
Refletor - Plugin Burp

Navegação de reflexão
Navegação por botões de seta na guia de resposta.


Configurações
  • Somente escopo: permita que o refletor funcione apenas com um escopo de sites adicionados.
  • Modo Agressivo - o refletor gera solicitação adicional com uma carga útil de teste.
  • Verificar contexto - ativar verificar o modo de contexto.
Além disso, você pode gerenciar a lista branca de tipos de conteúdo com o qual o plugin do refletor deve funcionar. Mas se você usar outro tipo, exceto o texto / html, isso pode levar a desaceleração no trabalho.
Refletor

0 comentários via Blogger
comentários via Facebook

Nenhum comentário :