Recientemente encontré this blog entry en una herramienta que escribe ataques XSS directamente en la base de datos. Parece una manera terriblemente buena de escanear una aplicación en busca de debilidades en mis aplicaciones.¿Existen herramientas multiplataforma para escribir ataques XSS directamente en la base de datos?
He intentado ejecutarlo en Mono, ya que mi plataforma de desarrollo es Linux. Desafortunadamente se bloquea con un System.ArgumentNullException
en el interior de Microsoft.Practices.EnterpriseLibrary
y parece que no puedo encontrar suficiente información sobre el software (parece ser un proyecto de una sola toma, sin página principal y sin desarrollo posterior).
¿Alguien conoce una herramienta similar? Preferiblemente debe ser:
- multiplataforma (Java, Python, .NET/Mono, incluso multiplataforma C está bien)
- de código abierto (me gusta mucho poder auditar mis herramientas de seguridad)
- capaz de hablar con una amplia gama de productos de base de datos (los grandes son los más importantes: MySQL, Oracle, SQL Server, ...)
Editar: me gustaría aclarar mi objetivo: Me gustaría una herramienta que directamente escribe el resultado de un ataque de inyección XSS/SQL exitoso en la base de datos. La idea es que quiero comprobar que cada lugar de mi aplicación corrige con la codificación de salida. Detectar y evitar que los datos lleguen allí en primer lugar es algo completamente diferente (y podría no ser posible cuando visualizo datos escritos en el DB por una aplicación de un tercero).
Edición 2: Corneliu Tusnea, el autor de la herramienta he vinculado al anterior, desde entonces ha lanzado la herramienta como software libre en CodePlex: http://xssattack.codeplex.com/
Sólo para que conste la entrada de blog es ahora 404. Se parecía interesante sin embargo ... – Eric
Una rápida búsqueda en Google no muestra una nueva ubicación para el blog Tusneas, por desgracia. –