Como sequestrar um navegador com BEEF XSS – Kali Linux 2017



▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬
▓▓▓▒▒▒░░░ LEIA A DESCRIÇÃO DO VÍDEO ░░░▒▒▒▓▓▓
▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬

## As demonstrações deste vídeo são apenas para conhecimento, o que fizer será sua responsabilidade! ##

# Neste vídeo demonstrei um pouco dos seguintes módulos presentes no BeEF:

-Browser/play sound
-Social Enginnering/fake flash update
-Social Enginnering/fake notification bar for chrome
-Social Enginnering/pretty thief
-Social Enginnering/pretty thief em android

## Para funcionar em rede externa utilize um endereço NO-IP e abra a porta 3000 que é a padrão do BeEF ##

_________________________________________________________________
# BeEF XSS
Ou tambem Browser Exploitation Framework, é uma
ferramenta de pentest de código aberto usado pra testar aplicação web e vulnerabilidades baseadas em navegador.

Esta ferramenta pode ser encontrada no Kali assim como era no BackTrack.

Para iniciar a ferramenta:
-via terminal: # beef -xss
-o painel deve ser acessado em: SEU_IP:3000/ui/panel

Basicamente o BeEF “sequestra” navegadores através de “hooks” com scripts inseridos em páginas web.
__________________________________________________________________
# XSS
-O que é?
É um tipo de vulnerabilidade focada em aplicações web que permite a inserção de códigos do lado cliente, alterando a página no navegador.
A vulnerabilidade pode ser um bug do browser que sob determinadas condições permite conteúdos (scripts) de determinado nível ser executado com permissões de níveis mais altos ou um erro na configuração do browser, sites não-seguros listados em zonas privilegiadas…

-Para que serve?
XSS pode causar desde um simples popup de alerta na tela até um sequestro de sessão ou redirecionamento de páginas.

-Como funciona?
Um ataque XSS não visa invadir o site/servidor web, ele apenas se aproveita de uma vulnerabilidade deste site para ter acesso à navegadores que o visitarem.
Em outras palavras, o site vulnerável não é invadido, mas ele serve de ponte para que seus visitantes sejam invadidos.

-Quais são os tipos de XSS?
Dentre os tipos de XSS, temos o persistente/armazenado, em que o script responsável por “fisgar” os navegadores fica armazenado no servidor web. O usuário torna-se vítima ao acessar a área afetada pelo armazenamento do código mal intencionado.

Já o tipo Refletido é quando o servidor da página web reflete aquilo que enviamos sem filtrar o conteúdo que o usuário digitou.

O tipo de XSS Injection mais utilizado é:
[script]alert(“digite a mensagem aqui”)[/script]
Esse código fará com que uma caixa de mensagem de alerta, com “digite a mensagem aqui” escrito nela, apareça na tela.

Um exemplo de URL seria assim:
http://site.com/search.php?q=[script]alert(“mensagem aqui”)[/script]

**substitua os [ ] por sinais de “menor que” e “maior que”.

-Como evitar?
Não há meios de proteger-se TOTALMENTE contra ataques XSS, pois são ataques que ocorrem devido a vulnerabilidades de aplicações web que o host está executando.

A melhor forma de proteger-se de ataques XSS é tomar cuidado com links que são enviados por e-mail ou postados em fóruns (ou algo do tipo) que você acesse. Se a URL possui código Hex em seu conteúdo, isso pode ser sinal de um ataque XSS. Não é habitual que uma URL normal contenha código Hex; entretanto, os atacantes nem sempre codificam javascript ou outros códigos em formato Hex.

Se voce for desenvolvedor, deve se assegurar que todas as entradas de dados do usuário são confiáveis. Todos dados de usuário a serem utilizados para construção do contexto HTML (corpo, atributo, JavaScript, CSS ou URL) devem ser verificados para assegurar que não contenham nenhum conteúdo ativo (JavaScript, ActiveX, Flash, Silverlight, etc) e que sejam codificados de maneira apropriada, por exemplo, transformando metacaracteres em códigos de escape HTML.

Para o usuário final, se estiver usando plugins/extensões em seu navegador como: NoScript ou o Google chrome com o “XSS Auditor” habilitado, os ataques de Cross Site Scripting em sites que estejam vulneráveis não irão funcionar.

_________________________________________________________________
TAGS EXTRAS:
como invadir um navegador
como sequestrar um navegador
como invadir um browser
como sequestrar browser
ataque xss
ataque cross site script
xss injection
como invadir pc
como hackear um pc
invadir pc usando beef
invadir pc com beef
como hackear navegador
como hackear browser
como hackear site
como invadir site
hackear navegador
hackear browser
hackear site
invadir site

source

Mourad ELGORMA

Mourad ELGORMA

Fondateur de summarynetworks, passionné des nouvelles technologies et des métiers de Réseautique , Master en réseaux et système de télécommunications. ,j’ai affaire à Pascal, Delphi, Java, MATLAB, php …Connaissance du protocole TCP / IP, des applications Ethernet, des WLAN …Planification, installation et dépannage de problèmes de réseau informatique……Installez, configurez et dépannez les périphériques Cisco IOS. Surveillez les performances du réseau et isolez les défaillances du réseau. VLANs, protocoles de routage (RIPv2, EIGRP, OSPF.)…..Manipuler des systèmes embarqués (matériel et logiciel ex: Beaglebone Black)…Linux (Ubuntu, kali, serveur Mandriva Fedora, …). Microsoft (Windows, Windows Server 2003). ……Paquet tracer, GNS3, VMware Workstation, Virtual Box, Filezilla (client / serveur), EasyPhp, serveur Wamp,Le système de gestion WORDPRESS………Installation des caméras de surveillance ( technologie hikvision DVR………..). ,

15 réflexions sur “Como sequestrar um navegador com BEEF XSS – Kali Linux 2017

  • Avatar
    octobre 17, 2020 à 3:43
    Permalien

    Interessante man, continue trazendo sempre videos sobre ferramentas hacking e pentest, sobre kali linux etc… os tutoriais são muto escasso e a maioria em inglês. O que dificulta um pouco quando não se sabe falar inglês. Thanks!!!! 😀

    Répondre
  • Avatar
    octobre 17, 2020 à 3:43
    Permalien

    o unico problema é que se fechar a pagina do beef, a máquina fica off no painel, ai tem que que pegar o script e insersir em um site, na verdade vc faz um ataque xss em algum site com o hook do beef, mas o video foi muito bom está de parabéns

    Répondre
  • Avatar
    octobre 17, 2020 à 3:43
    Permalien

    amigo, eu uso o Whonix pra proteger meu IP, ambos na máquina virtual, eu devo tira-lo para revelar meu IP e mandar pro alvo?

    Répondre
  • Avatar
    octobre 17, 2020 à 3:43
    Permalien

    Man me ajuda quando meu amigo entra no site criado pelo beef não funciona o site pq???

    Répondre
  • Avatar
    octobre 17, 2020 à 3:43
    Permalien

    **substitua os [ ] por sinais de "menor que" e "maior que".

    q porra tu ta falando mano? n intendi ajuda ai

    Répondre
  • Avatar
    octobre 17, 2020 à 3:43
    Permalien

    muito foda, só tomara que nao venha "kids" com problemas, visando destruir o video com denuncias

    Répondre
  • Avatar
    octobre 17, 2020 à 3:43
    Permalien

    Mas que página é essa? Quero saber se pode ser substituída por outra como Facebook etc. pq essa página é esquisita. O que ele (a vítima) vai fazer nela?

    Répondre

Laisser un commentaire