Durzosploit 0.1 – Framework de desenvolvimento para XSS

Ainda em fase de desenvolvimento, a ferramenta Durzosploit traz um framework de desenvolvimento de exploits para Cross-Site Scripting, com o objetivo de oferecer exploits (..na verdade, payloads) para os mais populares sistemas usados em sites (Drupal, etc) ou para sites populares (Facebook, twitter, etc).

Desenvolvido em ruby, seus comandos e sua “navegação” por console lembra muito o MSF Console, da coletania da framework MetaSploit. Há, atualmente, duas opções para “esconder” e\ou otimizar o código verdadeiro:  O packer, de Dean Edwards; e o que eles chamaram de minify, que apenas trata o código para torna-lo menor.

(dz) > search obfuscators
packr   -       DeanEdward's packer
minify  -       simple clean of the javascript code

No momento poucos exploits estão disponíveis, pois a preocupação maior é o andamento da framework em sí. Abaixo, a atual lista de exploits:

• twitter.com/update_status – Updates a target’s status
• twitter.com/update_settings – Updates your target’s settings
• facebook.com/what_is_on_your_mind – Write your message in your target’s mind
• drupal/edit_user_profile – Drupal 6.x – edit the profile of the user
• drupal/logout – Drupal 6.x – makes target logout

O download pode ser feito por SVN. O endereço e mais informações podem ser vistas aqui.

Para saber mais sobre como programar exploits para a plataforma, leia este artigo na wiki oficial do projeto.

Fonte: DarkNet