Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   E-Mail (https://forum.antichat.xyz/forumdisplay.php?f=14)
-   -   cXssTester: проверка email сервисов на наличие XSS (https://forum.antichat.xyz/showthread.php?t=34993)

Cenarius 08.03.2007 22:00
cXssTester: проверка email сервисов на наличие XSS
 
После обнаружения xss на некоторых крупных (и не очень) email сервисах, я решил немного автоматизировать процесс их поиска и написать нечто похожее на XSS Tester LittleLamer'a, но более функциональное и удобное. Вот что получилось в результате.

cXssTester - скрипт на perl, предназначенный для поиска XSS уязвимостей на email сервисах.

Скриншот
Главное окно

http://img258.imageshack.us/img258/5168/maingn0.gif

Описание
Данный скрипт посылает письмо с произвольными значениями email заголовков
Особенности:
  • Поддержка socks proxy
  • Проверка всех распространенных заголовков (в отличие тестера LittleLamer'a проверяется не только фильтрация тела письма, но и возможность наличия XSS в основных заголовках письма)
  • Легко редактируемый шаблон отправляемых данных
  • Два способа отправки почты:
  1. Отправки писем без использования сторонних SMTP серверов (скрипт получает MX запись DNS)
  2. Отправка писем посредством указанного SMTP сервера с возможностью аутентификации

Использование
Отправляем письмо на свой email и проверяем исходный код полученного письма.

E-mail - наш email
Message - файл с HTML кодом для проверки фильтрации тела html-писем
Нажав на кнопку Advanced, можно легко изменить значения заголовков или указать свои.

Новая версия [1.0.1]:
  • Добавлена возможность создания/редактирования сообщения из скрипта (message editor)
  • Добавлены 2 аттачмента: swf и pdf, т.к. на некоторых сервисах при загрузке данных файлов возможно их выполнение в контексте домена email сервиса. Например, на mа il.ru возможно выполнение произвольного js, as кода при загрузке swf файлов (для использования js в flash клипе можно использовать функцию getURL("javascript:alert('1')"); или метод call класса ExternalInterface). При загрузке pdf файлов из IE также возможно выполнение js. Для бОльших шансов на успех можно прислать жертве ссылку на какой-нибудь сайт, при переходе на который жертва пошлет referer (адрес письма). На основании данного referer'a можно получить адрес аттачмента и перенаправить по нему жертву (redirect)
  • Добавлены данные в стандартный шаблон сообщения для проверки сервиса на CDDAF уязвимость
  • Исправлена ошибка, связанная с proxy, и несколько мелких недочетов
cXssTester

ssk.ex0.uf0 08.03.2007 22:11
Cenarius, + в репу max) :D
потестим) на кройняк для архива) :D
Спасиба короче) :D

Petr 08.03.2007 22:11
Молодец, будет время юзну отпишусь как и что ;)

bx_N 08.03.2007 22:13
Опять перл :( Все же автору +

Constantine 08.03.2007 22:17
Тему поднимаю в выделенные, вообще, имхо ее бы в Избранные релизы отправить

KSURi 08.03.2007 22:40
Прочитал сорец - настроение сразу x2
Респект тебе чувак, респект

XHTTP 24.05.2007 03:01
Рульная весч ;)

nec 18.06.2007 14:10
офигенско спасибо.Всем маст хев

ForWarD-Hack 21.06.2007 13:03
Определённо + =)

Micr0b 21.06.2007 13:31
1. +1, я придпочитаю искать сам)))
2. Почему новая тема.? можно было сбросить в тему http://forum.antichat.ru/threadedpost392347.html

Constantine 21.06.2007 14:34
Потому что в той теме собираються чужие программы под винду, часто малоотносящиеся к тематике форума. А это непосредственно релиз топикстартера для этой темы.

Tigger 10.12.2007 17:31
На понял, а что именно писать в html коде в поле massage...
ответь плизз

foopi 19.11.2008 11:02
- Error: can't open C:/Documents and Settings/Федя.SLIPKNOT-23F043/Рабочий стол/cxsstester.1.0.1/message.html
No such file or directory

чё за хрень??

bombeg 19.11.2008 11:14
google.ru/language_tools

foopi 19.11.2008 17:33
Цитата:
Сообщение от bombeg
google.ru/language_tools
Нет такого файла или каталога

я вроде правильно всё указал и файл там имеется

Luccifer 24.11.2008 17:17
наманая нуная прога..пригодица нлин:))
афтору +

OOO 12.04.2009 02:40
Спасибо

salman 26.05.2010 17:26
У меня выдаёт ошибку

C:\Documents and Settings\Admin>perl cxsstester.pl
Can't locate Tk.pm in @INC (@INC contains: C:/Perl/site/lib C:/Perl/lib .) at cx
sstester.pl line 20.
BEGIN failed--compilation aborted at cxsstester.pl line 20.

C:\Documents and Settings\Admin>


Время: 08:31