Desarrollo de módulos en BeEF 0.4.4.x - Parte I
En Días pasados he tenido la necesidad de implementar pruebas unitarias de Javascript para uno de los proyecto que se esta desarrollando dentro de Software Allies, y a decir verdad, es la primera vez que implemento pruebas de unidad para código basado en Javascript, de forma que después de algo de investigación, entre la gama de frameworks que hoy en día son utilizados tanto para pruebas de integración (Poltergeist, Selenium, etc.. ) como aquellos que prueban directamente javascript decidí optar por la segunda opción y utilizar Jasmine.
Una de las primeras cuestiones con las que me enfrente utilizando Jasmine fue la ausencia de alguna herramienta que me permitiera la depuración gráfica del código; (Just for the reecord: Horas después me entere que Chrome posee la instrucción debugger).
Así, una de las primeras ideas que me surgió fue tomar una imagen de como se ve la página justo en el momento que me interesara conocer el estado de mi script; Para dicha tarea utilicé la herramienta html2canvas, un plugin inicialmente desarrollado sobre jQuery, aunque en ultimas versiones dicho componente se ha transformado en una librería independiente. todo esto me ha traido algunas ideas a la mente; No sería realmente grandioso poder monitorear de forma visual una sesión secuestrada mediante digamos un XSS?..
Así, una de las primeras ideas que me surgió fue tomar una imagen de como se ve la página justo en el momento que me interesara conocer el estado de mi script; Para dicha tarea utilicé la herramienta html2canvas, un plugin inicialmente desarrollado sobre jQuery, aunque en ultimas versiones dicho componente se ha transformado en una librería independiente. todo esto me ha traido algunas ideas a la mente; No sería realmente grandioso poder monitorear de forma visual una sesión secuestrada mediante digamos un XSS?..
Teniendo en mente el escenario anterior podriamos sugerir que para que un ataque de este tipo sea exitoso existen algunas características deseables para el programa que mediara el flujo de información entre el atacante y la víctima como:
Gracias a Wade Alcorn Y a la comunidad de usuarios que han aportado directa (hackers, developers, testers, etc..) e indirectamente (victimas, tester, etc..) al proyecto, de estas y muchas, MUCHAS características mas se encarga el Framework de explotacion para navegadores a.k.a. BeEF.
- Que sea capaz de preservar la información de la sesión secuestrada.
- Que pueda comunicar al navegador infectado con el servidor, y viceversa.
- Que posea una interface deseablemente gráfica donde el atacante pueda visualizar el status de la infección.
- Por mencionar algunas..
Gracias a Wade Alcorn Y a la comunidad de usuarios que han aportado directa (hackers, developers, testers, etc..) e indirectamente (victimas, tester, etc..) al proyecto, de estas y muchas, MUCHAS características mas se encarga el Framework de explotacion para navegadores a.k.a. BeEF.
En la siguiente entrada veremos la estructura general para un modulo desarrollado sobre este maravilloso frameworks dedicado a la explotación de los tan comunes e infravalorados XSS entre algunas otras curiosidades dignas de comentar.
No hay comentarios:
Publicar un comentario