После обнаружения xss на некоторых крупных (и не очень) email сервисах, я решил немного автоматизировать процесс их поиска и написать нечто похожее на XSS Tester LittleLamer'a, но более функциональное и удобное. Вот что получилось в результате. cXssTester - скрипт на perl, предназначенный для поиска XSS уязвимостей на email сервисах. Скриншот Главное окно Описание Данный скрипт посылает письмо с произвольными значениями email заголовков Особенности: Поддержка socks proxy Проверка всех распространенных заголовков (в отличие тестера LittleLamer'a проверяется не только фильтрация тела письма, но и возможность наличия XSS в основных заголовках письма) Легко редактируемый шаблон отправляемых данных Два способа отправки почты: Отправки писем без использования сторонних SMTP серверов (скрипт получает MX запись DNS) Отправка писем посредством указанного SMTP сервера с возможностью аутентификации Использование Отправляем письмо на свой email и проверяем исходный код полученного письма. E-mail - наш email Message - файл с HTML кодом для проверки фильтрации тела html-писем Нажав на кнопку Advanced, можно легко изменить значения заголовков или указать свои. Новая версия [1.0.1]: Добавлена возможность создания/редактирования сообщения из скрипта (message editor) Добавлены 2 аттачмента: swf и pdf, т.к. на некоторых сервисах при загрузке данных файлов возможно их выполнение в контексте домена email сервиса. Например, на mа il.ru возможно выполнение произвольного js, as кода при загрузке swf файлов (для использования js в flash клипе можно использовать функцию getURL("javascript:alert('1')"); или метод call класса ExternalInterface). При загрузке pdf файлов из IE также возможно выполнение js. Для бОльших шансов на успех можно прислать жертве ссылку на какой-нибудь сайт, при переходе на который жертва пошлет referer (адрес письма). На основании данного referer'a можно получить адрес аттачмента и перенаправить по нему жертву (redirect) Добавлены данные в стандартный шаблон сообщения для проверки сервиса на CDDAF уязвимость Исправлена ошибка, связанная с proxy, и несколько мелких недочетов cXssTester
1. +1, я придпочитаю искать сам))) 2. Почему новая тема.? можно было сбросить в тему http://forum.antichat.ru/threadedpost392347.html
Потому что в той теме собираються чужие программы под винду, часто малоотносящиеся к тематике форума. А это непосредственно релиз топикстартера для этой темы.
- Error: can't open C:/Documents and Settings/Федя.SLIPKNOT-23F043/Рабочий стол/cxsstester.1.0.1/message.html No such file or directory чё за хрень??
У меня выдаёт ошибку C:\Documents and Settings\Admin>perl cxsstester.pl Can't locate Tk.pm in @INC (@INC contains: C:/Perl/site/lib C:/Perl/lib .) at cx sstester.pl line 20. BEGIN failed--compilation aborted at cxsstester.pl line 20. C:\Documents and Settings\Admin>