Dans ce billet je vais présenter le paquet XSSER sous Kali Linux qui permet de diagnostiquer si certain de vos sites peuvent être victime de failles XSS. Les failles XSS sont décrite comme des vulnérabilités permettant à l’attaquant d’injecté du code et ainsi permettre des actions non désiré pour un visiteur. On peut ainsi citer le vol de cookies, la redirection vers une page de phising ou autres …
Les failles XSS sont généralement présente dans les variables passés en URL.
EX :
http://www.lesitevulnerable.ledomain/index.php?recherche=larecherchedunutilisateur
devient
http://www.lesitevulnerable.ledomain/index.php?recherche=<h1>affichage de texte</h1>
Pour cette exemple je me suis contenté d’inscrire brutalement des balises HTML afin de faire comprendre l’idée. On peut cependant faire passer sous plusieurs formes des arguments. XSSER permet de tester toutes (ou presque) les combinaisons possibles de failles XSS.
Ainsi on va lancer l’interface graphique de l’outil via, xsser — gtk.
Continuer la lecture de Diagnostiquer vos failles XSS avec XSSER