Nueva tool, y esta es la primera que hago para inyectar código. Tiene el nombre de la diosa de la caza y no por casualidad. Es para optimizar ataques como los que comenté en cómo utilizar un svg para colar un XSS.
La herramienta lo que hace es descargarse la web a atacar una vez que se le pasa por parámetro e inyecta el código malicioso.
La herramienta está realizada en shellscript, ya que yo solamente elaboro tools para sistemas GNU/Linux, y eso no lo pienso cambiar.
Cuando inyecta el código, mueve ese archivo a /var/www/html/carpetaDeTesteo para tenerlo en nuestro localhost.
En esta PoC he utilizado la web de mi colegio de Primaria y Secundaria y que, como se comprueba, es vulnerable a este tipo de ataque ya que me permite redirigir al usuario a la web de cordópolis, una web de noticias de Córdoba.
Si queréis el código, ya sabéis que lo tenéis en GitHub
No hay comentarios:
Publicar un comentario