AttackAPI javascript ve diğer bağlantılı olduğu istemci (ve sunucu) teknolojileri ile programlanabilr web arayüzleri üzerinden basit ve sezgisel saldırılar düzenlemeye yarıyor. Şuanki versiyonu birçok tarayıcı temelli (Örn:IE, FF, NC) saldırı tekniğini kullanmaya imkan tanıyor.

API kütüphanesinin birbirinden bağımsız bileşenleri şu adreslerden indirilebilir:

Kütüphanenin yeteneklerinin sınandığı tanıtımlar da kısaca şöyle:

NetworkSweeper: Daha önce de benzer bir örneğini verdiğim ip aralığı servis tarayıcısı. Yaptığım denemede ağda çalışan servisler (http) olmasına rağmen tespit edemedi. Bu API’yi başarılı olarak görmüyorum.
http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/NetworkSweeper.htm

JavascriptShell: Bir tür komut kabuğu içerisinde javascript kodlarının incelenip çalıştırılmasını sağlıyor, javascript’te hata ayıklama işlerinde kullanılabilir. http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/JavaScriptShell.htm

PortScanner: Basit bir javascript port tarayıcısı daha. Bu yukarıdakinden biraz daha başarılı.
http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/PortScanner.htm

HistoryDumper: Bu kod normalde yapamaması gereken birşeyi yaparak kullanıcın bir URL adresini daha önceden ziyaret edip etmediğini tespit edebiliyor.
http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/HistoryDumper.htm

ExtensionScanner: Web developer, Google tool bar ve Greasemonkey gibi tarayıcı eklentilerinin yüklü olup olmadığını tespit edebilen bu API sadece Mozilla tarayıcılarda çalışıyor. Örneğin ziyaret ettiğiniz bir web sayfası greasemonkey veya herhangi bir zayıflık içerek eklentinin yüklü olduğunu testpit ettiğinde sisteme arka kapı yükleyebilir.
http://www.gnucitizen.org/projects/attackapi/build/inf/interfaces/ExtensionScanner.htm

Son olarak dinamik web sitelerinde ençok XSS ve çeşitli Injection açıklarına rastlanıyor. Bu kütühane ve XSS teknikleri kullanılarak daha kompleks saldırılar gerçekleştirmek mümkün olabilir.

Yazan: Tankado

CEVAP VER

This site uses Akismet to reduce spam. Learn how your comment data is processed.