Es un proyecto OWASP liderado por Ajin Abraham, que consiste en proporcionar un framework a los "Pentester" para detectar y explotar vulnerabilidades XSS. Este framework es capaz de inyectar código XSS en la páginas WEB escaneadas y en las que se ha detectado una vulnerabilidad presente.
En definitiva Xenotix es la unión perfecta entre una herramienta XSS Scanner y aquella que permite poner a prueba dichas vulnerabilidades XSS Explotation Kit. Con Xenotix se tiene la herramienta perfecta para los #Pentester, o lo que es lo mismo, para los profesionales de poner a prueba las aplicaciones WEB.
¿Cómo funciona?
El funcionamiento es muy sencillo, se proporciona la URL de la página WEB y la variable que va a ser analizada, en la intefaz (GUI) del framework.
Luego existe dos modo de operación: Manual y Automático. En el modo automático la herramienta realizará un prueba automática de detección e inyección de "payload" en la página variable de la URL proporcionada.
Una vez confirmada la vulnerabilidad podrá inyectarse un "payload" especifico como por ejemplo una shell inversa.
Puedes observar el funcionamiento de la herramienta en el siguiente vídeo, que recomiendo ver ;)
O si lo prefieres puede descargarte el [White Paper] sobre como detectar y explotar una vulnerabilidad XSS con Xenotix.
Características de Xenotix Framework
- Built in XSS Payloads
- XSS Key logger
- XSS Executable Drive-by downloader
- Automatic XSS Testing
- XSS Encoder
- XSS Reverse Shell (new)
En definitiva, es una herramienta perfecta para construir PoC (Pruebas de concepto) tanto a nivel educativo como en la presentación de los informes de resultados de un test de penetración.
Download / Descargar
Enjoy it!!
Por supuesto Seguridad para Todos, y en particular, el autor de éste artículo no se hacen responsables del uso que de él se pueda hacer. Dado que el opbjetivo del artículo es meramente informativo y/o con fines educativos.
Más información: XenotiX Web Home
0 comentarios:
Publicar un comentario