lunes, 8 de octubre de 2012

ParameterFuzz v1.2


Otra vez yo por aquí, a veces no me veréis en un mes, otras en cambio no desaparezco de vuestros readers, es lo que tienen los domingos… el lujo de hacer lo que nos de la real gana. Hablando de real, no pasó desapercibido el Barça-Madrid, a pesar de haberme despertado a las 2 y media de la tarde, creo que me cundió el día, y lo que queda… ;)

No podía dejar atrás a ParameterFuzz, esta vez con buenas nuevas, dejo un listado con los cambios y cosas nuevas:

---------------
[+]Corregido un bug en el envío de peticiones POST.
[+]Corregido un bug en la creación de los LOGS.
[+]Agregado un CheckBox para lanzar peticiones incrementales de forma automática.
[+]Agregada la etiqueta ###SSI###, para identificar las vulnerabilidades de Server Side Include al diccionario de inyecciones.
[+]Al terminar el diccionario de Inyecciones, se pararán las peticiones automáticas.
[+]Agregada la función de peticiones automáticas basadas en tiempos, para evitar parones debidos al ReadyState de Webbrowser Control.
[+]Reordenadas las funciones internas para un funcionamiento más estable y rápido.
[+]Modificado el aviso de terminación de diccionarios.
[-]Eliminado el mensaje de visualización de Logs, ahora te guste o no los vas a ver.
---------------

La aplicación actualmente nos ofrece un mayor control sobre el envío de peticiones automáticas, ya que Control Webbrowser en algunos casos carece de actualizar el ReadyState a página completada cuando el resultado de la página es idéntico al anterior. Para evitar el problema, se ha incluido la opción de envío de peticiones basadas en tiempo, de esta manera nos aseguraremos de enviar las peticiones de forma forzada. Esta tarea puede ser más lenta pero más segura.

En la siguiente imagen se muestra un ejemplo visualizando el LOG de POST, después de utilizar la nueva funcionalidad de numéricos incrementales automáticos con peticiones basadas en tiempo.


He decido modificar el aviso de final de diccionario con peticiones automáticas, para mayor comodidad para el auditor, ya que pasados unos segundos el aviso desaparecerá y mostrará los resultados.



Espero que les guste, si encuentran problemas avisenme!

Descarga:
http://www.enelpc.com/search/label/ParameterFuzz


Saludos 4n4les! ;)

2 comentarios:

  1. Me encanta su web y dices cosas muy interesantes, me gustaría que pudieras ver mi pagina [websec..es]
    Un saludo

    ResponderEliminar
  2. Gracias Scr33d! parece intersante, dale duro y suerte! :)

    ResponderEliminar