[Ferramentas Hacker] XSS-Harvest



Apesar da vulnerabilidade XSS (Cross-Site Scripting) não ser levada muito a sério por vários administradores de sites e sistemas, essa vulnerabilidade pode ser potencialmente perigosa quando bem explorada, chegando ao ponto de capturar informações pessoais e sigilosas dos usuários de aplicações web, sites e navegadores vulneráveis.

Pensando em uma exploração mais automatizada e eficaz de vulnerabilidades XSS, hackers e crackers estão criando cada vez mais ferramentas e scripts, que conseguem fazer todo o processo de exploração, desde teste do sistema alvo até a injeção do código malicioso.

Recentemente postamos aqui no Mundo Dos Hackers uma matéria falando sobre a ferramenta XSSF, que é voltada para testes de invasão com foco em vulnerabilidades do tipo XSS, hoje estamos apresentando mais uma ferramenta para XSS que é a XSS-Harvest.

O XSS-Harvest é um web server multi-threaded desenvolvido em Perl, que não precisa de um servidor web ou banco de dados para ser utilizado, suas únicas dependências são alguns módulos comuns do próprio Perl.

Com o XSS-Harvest, você consegue fazer uma “colheita” de teclas, cliques e cookies de sites, ferramentas ou aplicações web vulneráveis, com isso é possível capturar dados pessoais, sigilosos e senhas dos usuários do site.

Veja abaixo uma lista de funcionalidades do XSS-Harvest:

  • Qualquer tecla pressionada ou clique do mouse, será enviado secretamente para o servidor.
  • Pode “reparar” a página vulnerável para mostrar uma diferente pagina no mesmo sub-domínio.
  • Ao “reparar” o navegador da vítima, permite que outras páginas carregadas também sejam infectadas.
  • Mantém vestígios da vítima para todo o tempo de vida do cookie XSS-Harvest.
  • Cada vítima tem um histórico separado contendo todos os evento de entrada do mouse e teclado.
  • O console do servidor exibe em tempo real todos os dados recebidos.

O XSS-Harvest já foi testado nos seguintes navegadores:

Navegadores comuns:

  • Internet Explorer 6 a 9 (a “reflected XSS protection” do IE 9 limita o exploit a somente XSS armazenados)
  • Firefox 5
  • Google Chrome

Navegadores Mobile:

  • Safari
  • Android

Dependências do XSS-Harvest:

  • HTTP::Server:Simple::CGI
  • Digest::MD5
  • Time::Local
  • Getopt::Std
  • Net::Server::PreFork

Você pode baixar o XSS-Harvest através do Google Docs da ferramenta, esse mesmo documento, possui informações de como utilizar a ferramenta.

Links dessa matéria:

Como todos puderam ver, XSS é uma vulnerabilidade que deve ser corrigida e levada a sério, por isso mantenha sempre o seu sistema, navegador e sites atualizados, principalmente se for um site baseado em algum CMS como WordPress, Drupal, Magento, etc.

Não deixem de comentar ;)!!!

32 Comentários para “[Ferramentas Hacker] XSS-Harvest”

Edson

12 de julho de 2011 ás 18:58hs

É uma verdadeira arte criar esse tipo de ferramenta, cada vez mais sofisticadas.
Não podemos ficar desatualizados nem um segundo sobre novos sistemas criados, e claro, trabalhar mais para construirmos mais ferramentas, tanto de defesa quanto de ataque.

Rodrigo

4 de agosto de 2011 ás 11:02hs

Bom dia

Gostaria de parabenizar a equipe que criou este website. Muito interessante e estimulante.

Obrigado

Rodrigo

Rodrigo

4 de agosto de 2011 ás 11:04hs

Vcs são a alma da internet!
Obrigado por compartilhar tão maravilhosas informações conosco, pobres mortais.

Valew

Thiago

8 de agosto de 2011 ás 17:20hs

Gostei Muito Do Site Galera..

Feernanda

12 de agosto de 2011 ás 14:29hs

Mt Boom, Adoreei Parabéns
^^’

luide

7 de setembro de 2011 ás 19:44hs

Como e que usa esse progama?? por favor respondam , grato des de já!

    8 de setembro de 2011 ás 12:15hs

    Em breve faremos alguns tutoriais sobre esse e outros programas de exploração XSS.

    Abração!!!

uill

17 de setembro de 2011 ás 20:20hs

massa man essas paradas que vc posta vllw ai

23 de setembro de 2011 ás 16:52hs

Adorei!!! …
(Outro Assunto)Paulo ,queria saber se Tem Algum Programa q Pode Camuflar meu Server de ProRat,pq : Themida,Cactus (no’Cmd já tentei)nenhum dão certo… ‘:( Me Ajuda!!!

    26 de setembro de 2011 ás 18:09hs

    Sim, os crypters, tente procurar por algum atual, esses tipos de programas ficam inutilizáveis muito rápido.

    Abração!!!

eDM

1 de outubro de 2011 ás 18:01hs

poh eu não manjo muita coisa de computador não ,, baixei o xss harvest i quero q alguem me explique como usar e até invadir algum computador ,,, vlw

    3 de outubro de 2011 ás 16:44hs

    Em breve postarei um tutorial ou vídeo aula sobre o XSS-Harvest.

    Abração!!!

luk

13 de outubro de 2011 ás 23:39hs

oi gostaria de saber se para usar eu presiso ter um sait

    21 de outubro de 2011 ás 19:53hs

    Não, você pode testar em sites de amigos.

    Abração!!!

14 de outubro de 2011 ás 14:54hs

seus programas são bons .

10 de novembro de 2011 ás 1:59hs

ei como conseguiu fazer o download
favor vamos conversar
vixalsil@hotmail.com

ARIEL

19 de janeiro de 2012 ás 16:31hs

Só tenho a agradecer muito, bom mas poderia liberar um pouco mais de informação o publico suplica e agradece dês de já …

6 de abril de 2012 ás 20:43hs

Paulo Eu nao estou conseguindo fazer o download ;
Quando acaba o download abre um bloco de notas.
Me ajuda ae Vlw.

    6 de abril de 2012 ás 22:18hs

    Você não esta baixando o MD5? Verifique se você esta baixando o arquivo correto.

    Abração!!!

7 de abril de 2012 ás 14:22hs

Paulo eu to fazendo o download XSS HARVEST.pl ai quando eu abro
abre num bloco de notas. meu windowns é XP ou tem q ter linux pra usar ???
ajuda ai pf; Vlw.

    9 de abril de 2012 ás 13:29hs

    Você deve compilar o programa e ai sim executá-lo. Se eu não me engano ele é só para Linux.

    Abração!!!

10 de abril de 2012 ás 19:36hs

Blz mais aqui cara vc vai faze uma video aula explicando como usa ?
Vlw.

    12 de abril de 2012 ás 13:13hs

    Verei se da para fazer uma vídeo aula mostrando como utilizar a ferramenta ou apenas mostrando a ferramenta em ação.

    Abração!!!

Anderson

15 de abril de 2012 ás 5:54hs

presisamos se unir pra cada vez mais se atualizar e se beneficiar cada vez mais….

Obrigado

‘________Labs 31337

26 de abril de 2012 ás 20:40hs

Paulo sabe me dizer quando sera esa aula ?

No curso do mundo dos hackers tem falando como usar essa ferramenta ?

vlw abraçoes !!

    6 de junho de 2012 ás 17:39hs

    Olha, não tenho um dia certo para postar essa aula.

Erick

2 de agosto de 2012 ás 7:17hs

não consigo fazer o download.

joe estudillo

27 de novembro de 2012 ás 19:18hs

pues como descargo la applicacion ????????

    28 de novembro de 2012 ás 18:52hs

    Acima esta o link para download.

    Abração!!!

Deixe seu Comentário

Comentários Recentes

  • Falsão Bagaray: Olá, Mozilla não é um navegador e sim o "fa...
  • Paulo Tacio: Olá! Sim esta atualizado, liberamos o link ...
  • roberto: o curso está atualizado para 2017? Os "CD" ...
  • Anonimous: CLARO QUE DA! DEIXA DE SER IGNORANTE.. É ...
  • Elocard: O meu aparece vários: adaptador Ethernet E...

Galeria de Imagens

Ver mais imagens