cXssTester: проверка email сервисов на наличие XSS

Discussion in 'Уязвимости Mail-сервисов' started by Cenarius, 8 Mar 2007.

  1. Cenarius

    Cenarius Member

    Joined:
    11 Oct 2006
    Messages:
    5
    Likes Received:
    72
    Reputations:
    100
    После обнаружения xss на некоторых крупных (и не очень) email сервисах, я решил немного автоматизировать процесс их поиска и написать нечто похожее на XSS Tester LittleLamer'a, но более функциональное и удобное. Вот что получилось в результате.

    cXssTester - скрипт на perl, предназначенный для поиска XSS уязвимостей на email сервисах.

    Скриншот
    Главное окно

    [​IMG]

    Описание
    Данный скрипт посылает письмо с произвольными значениями email заголовков
    Особенности:
    • Поддержка socks proxy
    • Проверка всех распространенных заголовков (в отличие тестера LittleLamer'a проверяется не только фильтрация тела письма, но и возможность наличия XSS в основных заголовках письма)
    • Легко редактируемый шаблон отправляемых данных
    • Два способа отправки почты:
    1. Отправки писем без использования сторонних SMTP серверов (скрипт получает MX запись DNS)
    2. Отправка писем посредством указанного SMTP сервера с возможностью аутентификации

    Использование
    Отправляем письмо на свой email и проверяем исходный код полученного письма.

    E-mail - наш email
    Message - файл с HTML кодом для проверки фильтрации тела html-писем
    Нажав на кнопку Advanced, можно легко изменить значения заголовков или указать свои.

    Новая версия [1.0.1]:
    • Добавлена возможность создания/редактирования сообщения из скрипта (message editor)
    • Добавлены 2 аттачмента: swf и pdf, т.к. на некоторых сервисах при загрузке данных файлов возможно их выполнение в контексте домена email сервиса. Например, на mа il.ru возможно выполнение произвольного js, as кода при загрузке swf файлов (для использования js в flash клипе можно использовать функцию getURL("javascript:alert('1')"); или метод call класса ExternalInterface). При загрузке pdf файлов из IE также возможно выполнение js. Для бОльших шансов на успех можно прислать жертве ссылку на какой-нибудь сайт, при переходе на который жертва пошлет referer (адрес письма). На основании данного referer'a можно получить адрес аттачмента и перенаправить по нему жертву (redirect)
    • Добавлены данные в стандартный шаблон сообщения для проверки сервиса на CDDAF уязвимость
    • Исправлена ошибка, связанная с proxy, и несколько мелких недочетов
    cXssTester
     
    #1 Cenarius, 8 Mar 2007
    Last edited: 6 Aug 2007
    23 people like this.
  2. ssk.ex0.uf0

    ssk.ex0.uf0 Elder - Старейшина

    Joined:
    27 Feb 2007
    Messages:
    68
    Likes Received:
    19
    Reputations:
    0
    Cenarius, + в репу max) :D
    потестим) на кройняк для архива) :D
    Спасиба короче) :D
     
  3. Petr

    Petr Banned

    Joined:
    10 Jun 2006
    Messages:
    642
    Likes Received:
    369
    Reputations:
    -13
    Молодец, будет время юзну отпишусь как и что ;)
     
    1 person likes this.
  4. bx_N

    bx_N Elder - Старейшина

    Joined:
    6 Mar 2007
    Messages:
    24
    Likes Received:
    14
    Reputations:
    1
    Опять перл :( Все же автору +
     
  5. Constantine

    Constantine Elder - Старейшина

    Joined:
    24 Nov 2006
    Messages:
    798
    Likes Received:
    710
    Reputations:
    301
    Тему поднимаю в выделенные, вообще, имхо ее бы в Избранные релизы отправить
     
  6. KSURi

    KSURi tnega AOLPS

    Joined:
    6 Jun 2006
    Messages:
    458
    Likes Received:
    219
    Reputations:
    357
    Прочитал сорец - настроение сразу x2
    Респект тебе чувак, респект
     
    1 person likes this.
  7. XHTTP

    XHTTP Elder - Старейшина

    Joined:
    24 Feb 2007
    Messages:
    180
    Likes Received:
    133
    Reputations:
    65
    Рульная весч ;)
     
  8. nec

    nec Elder - Старейшина

    Joined:
    6 Jul 2005
    Messages:
    98
    Likes Received:
    20
    Reputations:
    1
    офигенско спасибо.Всем маст хев
     
  9. ForWarD-Hack

    ForWarD-Hack New Member

    Joined:
    22 Jan 2007
    Messages:
    7
    Likes Received:
    3
    Reputations:
    0
    Определённо + =)
     
  10. Micr0b

    Micr0b Elder - Старейшина

    Joined:
    14 Jan 2006
    Messages:
    223
    Likes Received:
    168
    Reputations:
    26
    1. +1, я придпочитаю искать сам)))
    2. Почему новая тема.? можно было сбросить в тему http://forum.antichat.ru/threadedpost392347.html
     
  11. Constantine

    Constantine Elder - Старейшина

    Joined:
    24 Nov 2006
    Messages:
    798
    Likes Received:
    710
    Reputations:
    301
    Потому что в той теме собираються чужие программы под винду, часто малоотносящиеся к тематике форума. А это непосредственно релиз топикстартера для этой темы.
     
  12. foopi

    foopi Member

    Joined:
    26 Oct 2008
    Messages:
    41
    Likes Received:
    20
    Reputations:
    5
    - Error: can't open C:/Documents and Settings/Федя.SLIPKNOT-23F043/Рабочий стол/cxsstester.1.0.1/message.html
    No such file or directory

    чё за хрень??
     
  13. bombeg

    bombeg Member

    Joined:
    27 Oct 2008
    Messages:
    136
    Likes Received:
    83
    Reputations:
    8
    google.ru/language_tools
     
  14. foopi

    foopi Member

    Joined:
    26 Oct 2008
    Messages:
    41
    Likes Received:
    20
    Reputations:
    5
    Нет такого файла или каталога

    я вроде правильно всё указал и файл там имеется
     
  15. Luccifer

    Luccifer Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    49
    Likes Received:
    39
    Reputations:
    -4
    наманая нуная прога..пригодица нлин:))
    афтору +
     
  16. OOO

    OOO Banned

    Joined:
    10 Mar 2009
    Messages:
    173
    Likes Received:
    55
    Reputations:
    2
    Спасибо
     
  17. salman

    salman New Member

    Joined:
    7 May 2010
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    У меня выдаёт ошибку

    C:\Documents and Settings\Admin>perl cxsstester.pl
    Can't locate Tk.pm in @INC (@INC contains: C:/Perl/site/lib C:/Perl/lib .) at cx
    sstester.pl line 20.
    BEGIN failed--compilation aborted at cxsstester.pl line 20.

    C:\Documents and Settings\Admin>
     
  18. fl4m3l

    fl4m3l New Member

    Joined:
    10 Oct 2011
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Гениально.
    Спасибо огромное.
     
  19. zazulka

    zazulka New Member

    Joined:
    15 Aug 2011
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Спасибо, избавил от гемора.
     
  20. delsk

    delsk New Member

    Joined:
    3 Feb 2013
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    delete