X Campo – Generador de payloads XSS

XCampo es un generador de payloads XSS que nos brinda la posibilidad de sacarle mas jugo a una vulnerabilidad de este tipo en un sitio web, después de seleccionar el payload deseado, nos generara el código y seleccionamos si deseamos aplicarle rawurlencode() o quitarle las comillas:

XCampo X Campo – Generador de payloads XSS

De momento los payloads con los que cuenta la herramienta son:

  • Fake login: Genera un div sobre el resto de la pagina con un campo de login falso. Los datos se envían al sitio web que nosotros queramos y ya ahí somos responsables de hacer lo que queramos con el usuario.
  • hax0r defacement: Intenta poner un div sobre toda la pagina, incluir un texto e incluso reproducir una cancion.
  • Form redirection: Muy útil en ataques XSS que se encuentran en las paginas de login. Cambia el evento action de todos los forms a la dirección que le digamos. Ademas elimina cualquier tipo de Javascript de validación que existiera, por si acaso!
  • Password managers: La idea es, haciendo uso de Javascript, robar la informacion que los navegadores autocompletan cuando hemos guardado el usuario y contraseña en una pagina. Por ahora solo esta implementado el de Internet Explorer, pero el de Firefox no seria dificil de hacer.
  • Session cookies: Lo mas típico! Podemos enviar las cookies de un navegador hacia el dominio que queramos. Ademas existen tres maneras de hacerlo:
    • iframe
    • img
    • pop-up

Aunque es un proyecto joven, promete ser una buena herramienta para enviar el típico alert(hola);, si deseas utilizar el X Campo, puedes hacerlo online entrando a esta url (no es la ultima versión) o descargar el código fuente desde Google Code y montarlo en tu propio sistema (la ultima versión).

Mas Información:
Pagina Oficial del XCampo: https://equilibrioinestable.wordpress.com/2010/07/13/xcampo-y-hackbar-volviendo-a-programar/

Información extraída de:

Comentarios

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cambiar el idioma de Windows XP de inglés al español sin formatear

Crear un Fake AP en muy pocos pasos con Gerix