XSSF - Cross Site Scripting Framework.

Bueno en esta ocasión vengo a compartirles una herramienta que en realidad me parece muy interesante y creo que las personas que les gusta el tema de explotación de vulnerabilidades Cross Site Scripting también les va a fascinar.

El Cross-Site Scripting Framework (XSSF) es una herramienta de seguridad diseñada para convertir la tarea de explotación de vulnerabilidades XSS en un trabajo mucho más fácil. El proyecto XSSF pretende demostrar los grandes peligros reales de las vulnerabilidades XSS.

XSSF permite la creación de un canal de comunicación con el navegador específica (de una vulnerabilidad XSS) con el fin de realizar nuevos ataques. Los usuarios son libres de seleccionar los módulos existentes (un módulo = un ataque) con el fin de orientar los navegadores específicos.

Nota :  Este proyecto es creado exclusivamente para la educación, pruebas de penetración y con fines de investigación legítimos.

XSSF proporciona una API muy bien documentada, lo que facilita el desarrollo de módulos y ataques. Además, su integración en el Metasploit Framework permite a los usuarios tener una mejor perspectivo de los crítico que puede llegar a ser una vulnerabilidad Cross Site Scripting.

La  explotación de un fallo XSS dentro del navegador de la víctima podría ser la de mirar la página web en el navegador del atacante, utilizando la sesión de la víctima conectada. En la mayoría de los casos, simplemente robar la cookie víctima será suficiente para realizar esta acción. 

Sin embargo, en pocos casos (intranet, red Herramientas portales, etc), la cookie no será útil para un atacante externo. Es por eso que XSSF túnnel fue creado para ayudar al atacante a ayudar a la navegación atacante en dominio afectado utilizando la sesión de la víctima.


Instalación y Ejeucicón en Metasploit.


Procedemos con abrir una consola y vamos a iniciar con una actualización de los repositorios de metasploit.

A continuación nos vamos a dirigir a una carpeta especifica.

En la siguiente linea vamos a exportar la herramienta a nuestro repositorio de metasploit para su posterior uso.

Después de terminar la exportación, vamos a cerrar la consola (si gustamos), y procedemos a abrir nuestro metasploit.

Una vez que dispongamos de nuestro metasploit vamos a cargar nuestra herramienta con la siguiente linea.

Y listo ya podemos disponer de todas las cualidades de nuestra herramienta XSSF.

Para poder observar todas las opciones que nos proporciona XSSF, procedemos a introducir help xssf.

=====================
Descripción de Comandos.
=====================


    xssf_active_victims                 Muestra víctimas activas.
    xssf_add_auto_attack             Añade un nuevo ataque automatizado (lanzado de forma automática en la conexión de la víctima).
    xssf_auto_attacks                   Muestra XSSF ataques automatizados.
    xssf_banner Prints                  Marco XSS bandera !
    xssf_clean_victims                  Limpia víctimas en la base de datos ( eliminar ataques de espera).
    xssf_exploit                             Lanza e introduce un módulo (que se ejecuta en uno de sus procesos ) en una víctima determinada.
    xssf_information                     Muestra información sobre una víctima determinada.
    Muestra xssf_log                   registro con un ID dado.
    xssf_logs                                 Muestra los registros sobre una víctima determinada.
    xssf_remove_auto_attack     Elimina un ataque automatizado.
    xssf_remove_victims             Elimina las víctimas en la base de datos.
    xssf_restore_state                 Restaura el estado XSSF (víctimas , registros , etc) a partir del archivo de entrada.
    xssf_save_state                     Guarda estatales XSSF (víctimas , registros , etc) en el archivo de salida.
    xssf_servers                          Muestra todos los servidores de ataque utilizados.
    xssf_tunnel                            Nos proporciona un túnel entre agresor y víctima.
    xssf_urls                                 Enumera las direcciones URL's disponibles útiles proporcionadas por XSSF.
    xssf_victims                           Muestra todas las víctimas

A continuación les compartiré un video en la cual se puede observar detalladamente los grandes riesgos que conlleva la explotación de vulnerabilidades Cross Site Scripting.

Ante todo quiero agradecer a Code.google por haberme podido brindar toda la información acerca de esta valiosa herramienta. Bueno espero que esta poca información les sea de gran utilidad al lector y les de una nueva visión acerca de las vulnerabilidades XSS. Nos vemos y será hasta la próxima.