ParameterFuzz v1.0 By 4n0nym0us

Tenía que desconectar como fuese de este RJ45 que se apiada de mi tiempo, y no encontré mejor momento que hacerlo este fin de semana... ¡Así que me voy a la Sierra!

Ya era hora de respirar aire puro, estar rodeado de bosque es una buena opción frente al asfixiante dióxido de carbono que da sombra, formando el famoso hongo que cubre el centro de Madrid.

Como prometí traeros buenas nuevas, me he permitido el lujo de adelantarme para el día de hoy y nada mejor que la última versión estable de ParameterFuzz v1.0.

A continuación os dejo un listado de cambios que se han dado:

----------------------------------------

[+]Mayor control de errores.

[+]Agregado el método POST.

[+]Agregada la opción de enviar más parámetros en método POST, en una caja de texto individual.

[+]Agregado un CheckBox para elegir el protocolo de envío de peticiones, HTTP o HTTPS por cualquier puerto.

[+]Agregado un botón para ver como se construyen las peticiones de forma previa.

[+]Agregada la posibilidad de ver el código fuente y buscar cadenas como (Case Insentive), aceptando mayúsculas y minúsculas.

[+]Agregado un contabilizador de palabras encontradas para el buscador en el código fuente.

[+]Agregado el tapiz de fondo del blog en el Webbrowser de la página inicial.

[+]Corregido un error en los protocolos de envío que no permitía conexiones seguras.

[+]Corregido un problema al mostrar los ampersands en las cajas de página actual.

[+]Ya no se muestra el carácter de fin del diccionario de Inyecciones.

[+]Corregido el ajuste del logo en la pantalla inicial para todas las resoluciones.

[-]Eliminado el "Volcado HTML Local".

[-]Eliminado el control Winsock. ;)

----------------------------------------

Nada mejor que ver unas capturas para ver su funcionamiento... ¿no?

He preferido no cambiar demasiado el formulario de inicio, por aquello de la ilusión de ver el botón de POST habilitado.

El campo de navegación ha sido aumentando, permitiendo a los auditores ver los resultados con mayor facilidad. Las opciones de configuración para las peticiones, se han visto ampliadas en esta nueva versión, con campos más grandes y mejor aprovechados. Como se aprecia en la siguiente imagen, estas aparecen colocadas de forma más intuitiva.

Si nos fijamos en la parte superior derecha, se puede ver la opción de “Código Fuente”, donde presionando el botón “Fuente”, podremos ver el código HTML de la página, el cual nos permite navegar por Internet actualizándose de forma automatizada. Otra de las opciones a destacar de esta nueva función, es la de hacer una búsqueda de palabras, en nuestro caso será una buena idea probar resultados tras inyecciones, de esta forma dar con vulnerabilidades de tipo HTMLi, Cross Site Scripting o SQLi de una manera más rápida, ya que estas quedarán subrayadas.

Saltando al método POST, nos encontramos con una nueva caja de texto llamada “Parámetros”. La cual nos permite incluir los parámetros a enviar en una petición, en caso de ser varios los necesarios. En el siguiente ejemplo se muestra como se vulnera la conocida página de SexyONo, incluyendo una imagen debajo del panel de acceso a usuarios, siendo enviada mediante una variable llamada “sexo=”.

De la misma manera, podremos ojear el código fuente y contabilizar cuantas veces se incluye la inyección en su código.

Otra de las opciones a destacar, es la de ver de forma anticipada, el envío de la petición. Esto nos hará una idea de si realmente la estamos construyendo correctamente.

PD:Si tienen dudas no tengan miedo en preguntar, al igual si encuentran problemas o errores sin controlar

Descarga:

http://www.enelpc.com/search/label/ParameterFuzz

Saludos 4n4les! ;)