X Campo – Generador de payloads XSS

Exploiting X Campo – Generador de payloads XSS

XCampo es un generador de payloads XSS que nos brinda la posibilidad de sacarle mas jugo a una vulnerabilidad de este tipo en un sitio web, después de seleccionar el deseado, nos generara el código y seleccionamos si deseamos aplicarle rawurlencode() o quitarle las comillas:

XCampo X Campo – Generador de payloads XSS

De momento los payloads con los que cuenta la herramienta son:

  • Fake login: Genera un div sobre el resto de la pagina con un campo de login falso. Los datos se envían al sitio web que nosotros queramos y ya ahí somos responsables de hacer lo que queramos con el usuario.
  • hax0r defacement: Intenta poner un div sobre toda la pagina, incluir un texto e incluso reproducir una cancion.
  • Form redirection: Muy útil en ataques XSS que se encuentran en las paginas de login. Cambia el evento action de todos los forms a la dirección que le digamos. Ademas elimina cualquier tipo de de validación que existiera, por si acaso!
  • Password managers: La idea es, haciendo uso de Javascript, robar la que los navegadores autocompletan cuando hemos guardado el usuario y contraseña en una pagina. Por ahora solo esta implementado el de Internet Explorer, pero el de Firefox no seria dificil de hacer.
  • Session : Lo mas típico! Podemos enviar las cookies de un navegador hacia el dominio que queramos. Ademas existen tres maneras de hacerlo:
    • iframe
    • img
    • pop-up

Aunque es un proyecto joven, promete ser una buena herramienta para enviar el típico alert(hola);, si deseas utilizar el X Campo, puedes hacerlo online entrando a esta url (no es la ultima versión) o descargar el código fuente desde Google Code y montarlo en tu propio sistema (la ultima versión).

Mas Información:
Pagina Oficial del XCampo


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo