miércoles, 24 de abril de 2013

ParameterFuzz v1.5 de la mano de Germán Sánchez

Ya ha salido la versión de esta nueva herramienta, que permite hacer entre otras cosas inyecciones de XSS, SQL, etcétera.
Voy a explicar de una manera muy elemental qué es, y para qué sirve.

Qué es:

ParameterFuzz es una herramienta que te ayuda parametrizar las peticiones que se hacen a una web. Esto significa que nos ayuda a no tener que escribir ni sabernos un gran número de parámetros para sacar una password, descubrir directorios, o hacer ataques de cross site scripting.

Esta herrmienta viene ya cargada con muchos de los parámetros más utilizados a la hora de encontrar vulnerabilidades web. esto nos ayuda a ahorrarnos la molestia de tener que buscar en Google cuales era, por ejemplo, la cadena de caracteres que se hacían para una inyección SQL.
También nos permite poder controlar dichos parámetros pudiendo nosotros mismo poner los que más nuestro gusto estén.

Trae consigo un navegador para ver el resultado de nuestro ataque.

Ataque+facebook
Img 1: ParameterFuzz mostrando sus múltiples opciones

Para que sirve:

Básicamente nos permite automatizar y agilizar una auditoría web. Está pensada trabajar sobre PHP, HTML, .ASP, SQLi, etc.
En un futuro no se descarta la idea de poder ofrecer un apartado de fuerza bruta mediante diceccionarios o cadena de caracteres.
Ya que podría utilizarse de la misma manera que lo hace Burpsuit a la hora de capturar el Login de una página.

Descarga
www.enelpc.com