Xenotix XSS Exploit Framework
Introduction
Cross Site Scripting (이하, XSS) 취약점은 1990년대 부터 알려진 공격이다. XSS는 OWASP 2010 웹 취약점 항목에서도 2번째 있었고, OWASP 2013 웹 취약점 항목에는 3번째 위치하고 있다.
[출처 : www.owasp.org]
Cross-site scripting(XSS)은 공격자가 웹 어플리케이션에 Client-Side Script가 삽입 가능한 보안 취약점을 이용하여 다른 사용자가 해당 페이지를 브라우저에서 봤을 때 발생한다. injection 코드는 Client 측에서 실행된다. 공격자는 Cross-site scripting 취약점을 이용하여 Same Origin Policy (SOP)을 우회 할 수있다. 예전에는 XSS 취약점의 발생가능성에 대해 잘 알지 못했다. XSS를 이용하여 쿠키를 훔치거나 영구적으로 영향을 끼치는 공격이 많이 알려져 있기때문에 위험이 높은 공격으로 고려하지 않았다. 하지만 최근에 XSS의 영향력은 터널링이 페이로드 제공으로 강력해졌다. 대부분의 거대한 웹 사이트는 XSS 버그를 가지고있다.
XSS를 통한 위협
- XSS Tunneling : 해커는 XSS 터널을 이용하여 타겟과 웹 사이트의 트렉픽을 얻을 수 있다.
- Client side code injection : 해커는 Clinet에서 악성 코드를 삽입 및 실행 가능하다.
- DOS : 해커는 원격 서버나, Client 모두 DOS 공격 가능하다.
- Cookie Stealing : 해커는 다른 사용자의 웹 사이트 세션 쿠키나 토큰 획득이 가능하다.
- Malware Spreading: 해커는 웹 사이트의 XSS 취약점을 이용하여 악성코드 배포 가능하다.
- Phishing : 해커는 타겟의 로그인 증명(id, password)와 같은 정보를 얻기위해 가짜 사이트로 리다이렉트나 해당 사이트에 포함 시킬 수 있다.
- Defacing : 웹 어플리케이션을 일시적이나 영구적으로 훼손 할 수 있다.
Need for a new Tool
많은 툴들이 웹 어플리케이션의 XSS 취약점 탐지가 가능하다. 하지만 대부분 쉽게 사용 불가능하거나, 수동으로 페이로드를 설정해야한다.
What is Xenotix XSS Exploit Framework?
Xenotix XSS Exploit Framework은 웹 어플리케이션의 XSS 취약점을 탐지하거나 공격하기 위한 모의해킹 테스트 툴이다. 이 툴은 XSS 취약점으로 웹 사이트에 코드 인젝션이 가능하다. XSS 스캐너는 페이로드 목록을 기반으로 하고있다. 해당 침투테스트를 이용하여 쉽게 웹 어플리케이션의 XSS 페이로드 목록에서 침투 가능한 기능을 제공한다. 툴은 기본 테스트에서 시간공유를 하여 수동/자동 공격 모두 가능하다. 실행프로그램 Drive-by 다운로드, 키로거, XSS 인코더와 같은 기능도 포함하고 있다.
Feature of Xenotix XSS Exploit Framewoork
- Built in XSS 페이로드
- XSS 키로거
- XSS 실행 가능한 Drive-by 다운로더
- 자동 XSS 테스터
- XSS 인코더
Xenotix 실행하면 Internet Explorer, Chrome, Firefox 3가지 화면은 한 view에 볼 수 있다.
※ 참조 OWASP Xenotix XSS Exploit Framework https://www.owasp.org/index.php/OWASP_Xenotix_XSS_Exploit_Framework |
'30. > 31. Web' 카테고리의 다른 글
Obfuscated code (0) | 2014.10.10 |
---|---|
[정보수집] Google Hacking (1) | 2014.07.01 |
Miss-Configuration (0) | 2014.06.21 |
Inclusion Attacks (0) | 2014.06.21 |
Actionscript XSS using flash (0) | 2014.04.29 |