Cross-site scripting (XSS) é um dos ataques mais perigosos hoje em dia, a grande maioria das vulnerabilidades encontras nos Web sites são exploradas por XSS, porém não são todos os profissionais de segurança da informação que conseguem realizar um ataque bem sucedido.

Existe uma série de ferramentas que prometem auxiliar aqueles que desejam realizar um pentest XSS, como o OWASP, mas são poucas as ferramentas que conseguem realizar “testes” que funcionam, uma das ferramentas que conseguem e que recomendo é o XSSER.

Eu havia testado essa ferramenta em Março deste ano e a achava razoável, mas ela recebeu um excelente e funcional upgrade.

Em resumo, o XSSER é uma ferramenta Linux que consegue detectar e realizar ataques XSS, tudo automatizado. Abaixo segue um vídeo demonstrando como a ferramenta funciona:

As novas features do XSSER são:

– – Added “final remote injections” option
– – Cross Flash Attack!
– – Cross Frame Scripting
– – Data Control Protocol Injections
– – Base64 (rfc2397) PoC
– – OnMouseMove PoC
– – Browser launcher
– – Code clean
– – Bugfixing
– – New options menu
– – Pre-check system
– – Crawler spidering clones
– – More advanced statistics system
– – Mana ouput results

Para aqueles que desejam realizar testes XSS com o The Mosquit é só acessar o seguinte link. Usem com moderação. 🙂