본문 바로가기

30./31. Web

[XSS] Xenotix XSS Exploit Framework

Xenotix XSS Exploit Framework



Introduction


Cross Site Scripting (이하, XSS) 취약점은 1990년대 부터 알려진 공격이다. XSS는 OWASP 2010 웹 취약점 항목에서도 2번째 있었고, OWASP 2013 웹 취약점 항목에는 3번째 위치하고 있다.

[출처 : www.owasp.org]

Cross-site scripting(XSS)은 공격자가 웹 어플리케이션에 Client-Side Script가 삽입 가능한 보안 취약점을 이용하여 다른 사용자가 해당 페이지를 브라우저에서 봤을 때 발생한다. injection 코드는 Client 측에서 실행된다. 공격자는 Cross-site scripting 취약점을 이용하여 Same Origin Policy (SOP)을 우회 할 수있다. 예전에는 XSS 취약점의 발생가능성에 대해 잘 알지 못했다. XSS를 이용하여 쿠키를 훔치거나 영구적으로 영향을 끼치는 공격이 많이 알려져 있기때문에 위험이 높은 공격으로 고려하지 않았다. 하지만 최근에 XSS의 영향력은 터널링이 페이로드 제공으로 강력해졌다. 대부분의 거대한 웹 사이트는 XSS 버그를 가지고있다.

XSS를 통한 위협


- XSS Tunneling : 해커는 XSS 터널을 이용하여 타겟과 웹 사이트의 트렉픽을 얻을 수 있다.

- Client side code injection : 해커는 Clinet에서 악성 코드를 삽입 및 실행 가능하다.

- DOS : 해커는 원격 서버나, Client 모두 DOS 공격 가능하다.

- Cookie Stealing : 해커는 다른 사용자의 웹 사이트 세션 쿠키나 토큰 획득이 가능하다.

- Malware Spreading: 해커는 웹 사이트의 XSS 취약점을 이용하여 악성코드 배포 가능하다.

- Phishing : 해커는 타겟의 로그인 증명(id, password)와 같은 정보를 얻기위해 가짜 사이트로 리다이렉트나 해당 사이트에 포함 시킬 수 있다.

- Defacing : 웹 어플리케이션을 일시적이나 영구적으로 훼손 할 수 있다.


Need for a new Tool


많은 툴들이 웹 어플리케이션의 XSS 취약점 탐지가 가능하다. 하지만 대부분 쉽게 사용 불가능하거나, 수동으로 페이로드를 설정해야한다.


What is Xenotix XSS Exploit Framework?


Xenotix XSS Exploit Framework은 웹 어플리케이션의 XSS 취약점을 탐지하거나 공격하기 위한 모의해킹 테스트 툴이다. 이 툴은 XSS 취약점으로 웹 사이트에 코드 인젝션이 가능하다. XSS 스캐너는 페이로드 목록을 기반으로 하고있다. 해당 침투테스트를 이용하여 쉽게 웹 어플리케이션의 XSS 페이로드 목록에서 침투 가능한 기능을 제공한다. 툴은 기본 테스트에서 시간공유를 하여 수동/자동 공격 모두 가능하다. 실행프로그램 Drive-by 다운로드, 키로거, XSS 인코더와 같은 기능도 포함하고 있다.


Feature of Xenotix XSS Exploit Framewoork


- Built in XSS 페이로드

- XSS 키로거

- XSS 실행 가능한 Drive-by 다운로더

- 자동 XSS 테스터

- XSS 인코더


Xenotix 실행하면 Internet Explorer, Chrome, Firefox 3가지 화면은 한 view에 볼 수 있다.


 ※ 참조

 OWASP Xenotix XSS Exploit Framework

 https://www.owasp.org/index.php/OWASP_Xenotix_XSS_Exploit_Framework


'30. > 31. Web' 카테고리의 다른 글

Obfuscated code  (0) 2014.10.10
[정보수집] Google Hacking  (1) 2014.07.01
Miss-Configuration  (0) 2014.06.21
Inclusion Attacks  (0) 2014.06.21
Actionscript XSS using flash  (0) 2014.04.29