AttackAPI

javascript ve diğer bağlantılı olduğu istemci (ve sunucu) teknolojileri ile programlanabilr web arayüzleri üzerinden basit ve sezgisel saldırılar düzenlemeye yarıyor. Şuanki versiyonu birçok tarayıcı temelli (Örn:IE, FF, NC) saldırı tekniğini kullanmaya imkan tanıyor.

API kütüphanesinin birbirinden bağımsız bileşenleri şu adreslerden indirilebilir:

Kütüphanenin yeteneklerinin sınandığı tanıtımlar da kısaca şöyle:

NetworkSweeper: Daha önce de benzer bir örneğini verdiğim ip aralığı servis tarayıcısı. Yaptığım denemede ağda çalışan servisler (http) olmasına rağmen tespit edemedi. Bu API’yi başarılı olarak görmüyorum.

JavascriptShell: Bir tür komut kabuğu içerisinde javascript kodlarının incelenip çalıştırılmasını sağlıyor, javascript’te hata ayıklama işlerinde kullanılabilir.

PortScanner: Basit bir javascript port tarayıcısı daha. Bu yukarıdakinden biraz daha başarılı.

HistoryDumper: Bu kod normalde yapamaması gereken birşeyi yaparak kullanıcın bir URL adresini daha önceden ziyaret edip etmediğini tespit edebiliyor.

ExtensionScanner: Web developer, Google tool bar ve Greasemonkey gibi tarayıcı eklentilerinin yüklü olup olmadığını tespit edebilen bu API sadece Mozilla tarayıcılarda çalışıyor. Örneğin ziyaret ettiğiniz bir web sayfası greasemonkey veya herhangi bir zayıflık içerek eklentinin yüklü olduğunu testpit ettiğinde sisteme arka kapı yükleyebilir.

Son olarak dinamik web sitelerinde ençok XSS ve çeşitli Injection açıklarına rastlanıyor. Bu kütühane ve XSS teknikleri kullanılarak daha gerçekleştirmek mümkün olabilir.

Yazan: Tankado