domingo, 9 de febrero de 2014

ParameterFuzz v1.8

Compartir
Han pasado tantas cosas… que ni te imaginas, ciertamente la pereza me impide contarlas todas juntas, con lo que trataré de hacerlo al estilo “Jack el destripador”, vamos por partes.

Son ahora mismo las 21:00 de la noche, es domingo ¿Pero qué hago aquí? Seguramente en otro momento de mi vida estaría en un bar de mala muerte preguntándome lo mismo, un vago recuerdo que tardaría semanas en borrarse finalmente, pero no más que en despedirse de mí estos grados etílicos. Desde luego hay cosas que nunca cambian.

Ya que la lluvia no ha cesado durante todo el fin de semana, estimo que hoy es un día en el que el remedio más cercano se cura con una dosis de inspiración. A tu Dios gracias por hacer que me acurruque en una esquina del sofá con el frío acechando, no teniendo más remedio que sentarme a escribir y describir la angustia que siento a una estufa abrazado.

Dicen que una imagen vale más que mil palabras, esta espero sea de su agrado.



Descargar ParameterFuzz v1.8:

Saludos 4n4les! ;)

PD: Actualmente estoy teniendo algún problema con https://code.google.com/p/parameterfuzz/ con lo que trataré de solucionarlo lo antes posible.

viernes, 4 de octubre de 2013

ParameterFuzz v1.7

Compartir
Ni mucho menos vengo a reinventar el concepto de auditoría Web, pero sí trataré de aportar mi granito de arena, dando más peso en aquellas cosas que me resultan atractivas a la hora de llevarlas a cabo. Supongo que cada quien, utiliza sus propias técnicas de recolecta de información para determinar en cierta medida, la inmensidad o simplicidad del dominio a auditar. En lo personal, rara vez acudo a ataques de Spidering para empezar a probar parámetros, aunque esto sea necesario para el postureo... ejemm. Sencillamente mi footprinting personal, termina ciñéndose normalmente a búsquedas avanzadas en Google, cuando termino barriendo todo el contenido indexado, empiezo levemente a “automatizar”.

En esta versión de ParameterFuzz, he pensado que las aplicaciones que había diseñado para la anterior versión, ya eran suficientes y que probablemente lo que necesitase fuesen ciertos arreglos para utilizar la herramienta de una forma más cómoda. Por otro lado, las herramientas en esta nueva versión, han evolucionado para ayudar al auditor en cada tarea. Realmente hasta que no realizas una auditoría con PF 1.6, no sabes de sus defectos.

Intentando abarcar estas nuevas ideas, se me ocurrió que sería óptimo que toda la URL analizada, se enviase de la manera más sencilla posible, desde una sola caja de texto. De esta forma se evita el rellenar las tediosas configuraciones sobre puertos y protocolos de envío. De igual manera, era necesario no separarme demasiado de lo que realmente es PF, un navegador de Internet Explorer embebido. Con lo que presionando la tecla Enter, se enviará la petición actual.


Una de las herramientas con la que más me he divertido, posiblemente se tratase del detector de fugas. A parte de los diccionarios internos de la aplicación para detectar errores en el código de las páginas, he pensado que siempre suele faltar en herramientas de este tipo, la opción de configuración de nuestros propios diccionarios. En este caso, he incluido un diccionario de errores comunes, otro sobre posibles malware HTML/Javascript y por último, uno de pocas palabras para detectar BlackSEO.

Como siempre, según naveguemos por los dominios, se monitorizarán automáticamente las fugas en busca de algo interesante en el código fuente, si se detecta una fuga, la cara de V de Vendetta aparecerá en la parte baja de la aplicación. En el siguiente caso, ParameterFuzz ha encontrado una página que contiene cadenas de un popular malware Javascript.


Otra de las opciones agregadas, es la simulación a los conocidos plugins que tienen los navegadores, para agregar diferentes User-Agent en las peticiones. Dentro de la herramienta Add HTTP Header encontraremos el listado.


Combinando estas dos herramientas con un mínimo de idea, podremos encontrar algunos casos como el visto en Las Rutas Meigas vendiendo Viagra.


La herramienta de Spider que aparece en Parameterfuzz, no podía ser despreciada de un lavado de cara. Se agregaron opciones como la de extracción automatizada de fugas en URL o la de páginas que contengan parámetros a los que atacar.


Además de la posibilidad de navegar realizando un doble clic sobre los links extraídos y los controles de navegación atrás, adelante o refrescar.


Es gracioso pero el otro día haciendo pruebas, me di cuenta de que el componente WebBowser de Internet Explorer, es vulnerable a Cross Site Scripting si se utiliza el método about en la barra de direcciones. ¿Recuerdan el about:blank?




Saludos 4n4les! ;)