ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > E-Mail
Перезагрузить страницу cXssTester: проверка email сервисов на наличие XSS
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

cXssTester: проверка email сервисов на наличие XSS
  #1  
Старый 08.03.2007, 22:00
Аватар для Cenarius
Cenarius
Новичок
Регистрация: 11.10.2006
Сообщений: 5
Провел на форуме:
42764

Репутация: 442
Отправить сообщение для Cenarius с помощью ICQ
Exclamation cXssTester: проверка email сервисов на наличие XSS
После обнаружения xss на некоторых крупных (и не очень) email сервисах, я решил немного автоматизировать процесс их поиска и написать нечто похожее на XSS Tester LittleLamer'a, но более функциональное и удобное. Вот что получилось в результате.

cXssTester - скрипт на perl, предназначенный для поиска XSS уязвимостей на email сервисах.

Скриншот
Главное окно



Описание
Данный скрипт посылает письмо с произвольными значениями email заголовков
Особенности:
  • Поддержка socks proxy
  • Проверка всех распространенных заголовков (в отличие тестера LittleLamer'a проверяется не только фильтрация тела письма, но и возможность наличия XSS в основных заголовках письма)
  • Легко редактируемый шаблон отправляемых данных
  • Два способа отправки почты:
  1. Отправки писем без использования сторонних SMTP серверов (скрипт получает MX запись DNS)
  2. Отправка писем посредством указанного SMTP сервера с возможностью аутентификации

Использование
Отправляем письмо на свой email и проверяем исходный код полученного письма.

E-mail - наш email
Message - файл с HTML кодом для проверки фильтрации тела html-писем
Нажав на кнопку Advanced, можно легко изменить значения заголовков или указать свои.

Новая версия [1.0.1]:
  • Добавлена возможность создания/редактирования сообщения из скрипта (message editor)
  • Добавлены 2 аттачмента: swf и pdf, т.к. на некоторых сервисах при загрузке данных файлов возможно их выполнение в контексте домена email сервиса. Например, на mа il.ru возможно выполнение произвольного js, as кода при загрузке swf файлов (для использования js в flash клипе можно использовать функцию getURL("javascript:alert('1')"); или метод call класса ExternalInterface). При загрузке pdf файлов из IE также возможно выполнение js. Для бОльших шансов на успех можно прислать жертве ссылку на какой-нибудь сайт, при переходе на который жертва пошлет referer (адрес письма). На основании данного referer'a можно получить адрес аттачмента и перенаправить по нему жертву (redirect)
  • Добавлены данные в стандартный шаблон сообщения для проверки сервиса на CDDAF уязвимость
  • Исправлена ошибка, связанная с proxy, и несколько мелких недочетов
cXssTester
Последний раз редактировалось Cenarius; 06.08.2007 в 18:53..
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Xss bx_N Forum for discussion of ANTICHAT 7 11.03.2007 19:17
Xss для новичков Micr0b Уязвимости 0 04.06.2006 18:25



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ