Aunque más de una vez he pensado
en desaparecer de aquí, mi obsesividad por terminar aquello que empiezo, me lleva
a irradiarlo enelpc, convirtiendo la
actividad en un reto personal. No más lejos del objetivo de demostrarme y
demostraros que sería capaz de llevarlo a cabo.
El problema se manifiesta cuando decides
abandonar el proyecto, aún a sabiendas de que algo se escapaba o al menos siendo
consciente de que podrías dar más de ti, haciendo de lo que anteriormente pensabas
que sería una magnífica idea empezarla, se transforma en tu peor pesadilla para
acompañar el Halloween.
Cambios respecto a la versión
anterior:
---------------------------------------------
[+]Arreglados pequeños bugs y
mejoras en la aplicación.
[+]Agregado un control para número
máximo de puerto a utilizar, hasta 65535.
[+]Agregado el control
"CSocketMaster", para peticiones manuales desde botón
"Request" o "Petición".
[+]Agregado el ejecutable
"Curl.exe", para compatibilidad con páginas bajo "SSL"
desde el botón "Request" o "Petición".
[+]Agregados los códigos de error en
respuestas del tipo 404, 403 y 500 para el log.
[+]Agregada la opción para utilizar
el fuzzer de parámetros con direcorios y/o archivos.
[-]Eliminado el Focus del cuadro de
búsqueda del código HTML.
---------------------------------------------
El botón de visualización de
peticiones, ahora luce con opciones para enviarlas volcando una copia del HTML
en local, permite visualizarlas en el propio navegador de la aplicación y
modificar a mano el contenido de las cabeceras.
Para implementar esta opción, me
he decantado por CsocketMaster, el
hermano gemelo del conocido Control
Winsock pero convertido en módulo. De esta manera no tendrán que
registrar librerías de ningún tipo.
Sin embargo, para realizar
peticiones bajo SSL, he introducido
un nuevo ejecutable a la aplicación llamado curl.exe, ya que no existen módulos gratuitos que incorporen SSLv3 o las últimas versiones de TLS.
Para este tipo de peticiones, he
ajustado las cajas de texto a la consola de CURL.
Para un buen funcionamiento de este
ejecutable, se necesita correr con privilegios de administrador, con lo que
sugiero que añadan el ejecutable de ParameterFuzz.exe,
a las aplicaciones bajo compatibilidad con nivel de ejecución Administrador.
Por otro lado, también he pensado
que sería buena idea incorporar un control de errores HTTP visibles desde los LOGs, basado en strings HTML para no solo diferenciar
posibles parámetros sino también, realizar Fuzzing de directorios y archivos.
Los diccionarios por defecto utilizados, seguirán siendo Inyecciones.txt y
Parametros.txt.
A continuación dejo la descarga:
Saludos 4n4les! =O
Excelente trabajo German, muchas gracias por compartirlo con todos!!
ResponderEliminarY mucho animo con el proyecto XD
Muchas gracias Villaveiran! igualmente intentaré sacar tiempo para mostrar otras cosillas =D
EliminarSaludos!
Te he votado a los Bitácoras. Yo también me presento en la categoría de Belleza y Moda. Mi blog http://queacierto.blogspot.com Te agradecería que hicieras lo mismo.
ResponderEliminarNo.
EliminarXDDDDDDDDDDDDDDDDD
ResponderEliminarNegando votos a los que te votan...muy mal se empieza así un liderazgo eh!
Hablando de otros temas, te dije que le daría una segunda oportunidad al ParameterFuzz y...a ello voy! Ya te diré qué tal se ha dado ò_o
Hacen "copy & paste" del mensaje y lo publican en blogs que compiten, pero en realidad hay un máximo de votos por usuario en bitácoras... con lo que no pueden votarnos a todos:
ResponderEliminarhttps://www.google.es/search?q="en+la+categoría+de+Belleza+y+Moda.+Mi+blog"
Pwned!
A ver que tal te va el Para-meter-fuzz truño ese... jeje
Saludos! =D