17 julio 2014

search2audit.py: Deja que BING haga el trabajo sucio

En el mundo de las auditorías son siempre los pequeños detalles los que te separan de un trabajo bien hecho (y con resultados) de otro mas bien mediocre.

No importa el número de horas ni tampoco las herramientas que se usen, al final son los trucos los que te pueden hacer llegar un paso más o quedarte en el camino.

Sucedió que, en un par de ocasiones en las que estaba un tanto 'atascado' revisando pruebas, tests, pantallas y mas pantallas le pedí ayuda a mi compañero Alejandro Ramos para que me diera su opinión de un site web. Al cabo de 10 minutos me contestaba: Aquí tienes un SQLI 

Sorpresa ! ni Zaps, ni Burps, ni acunetixs habían encontrado nada y resulta que había un SQLI ¿?

Los dos SQLIs apuntaban a partes de la web 'obsoletas' de esas que no aparecen en un spidering normal, secciones que siguen ahí porque nadie las ha borrado pero no son, a priori, visibles a simple vista. 

La magia de los buscadores y el parámetro site: para localizar contenido que no es fácil de encontrar haciendo un simple 'spidering'

Pensando en cómo poder hacer esto de una forma no manual hice un script que hoy comparto con vosotros llamado search2audit. El script hace uso de BING para lanzar búsquedas site: e insertar lo que va encontrando en tu herramienta de auditoría favorita.

Lo primero que has de hacer para usar el script es hacerte con una API-KEY de Bing, nada difícil ya que BING da acceso gratuito a 5.000 peticiones x mes 

Una vez hecho eso, lanzas Burp o Zap y desactivas la intercepción de peticiones. Esto pondrá a la escucha el proxy en localhost 8080

Y ejecutas el scrip tal que así

python search2audit.py tu-api-key www.security-projects.com

Lo que hace el script es ir extrayendo las URLs que le proporciona BING y navegando hacia ellas usando como proxy la herramienta de auditoría

Esto hará que la ventanita de Burp o Zap se empiece a llenar con los enlaces que ha encontrado vía Bing dejando una buena semilla para luego lanzar el spidering desde la herramienta, obteniendo de esa forma mejores resultados que si simplemente lanzas el spidering tomando como base un dominio.

El código fuente del script, que es tan solo una versión Beta que hay que pulir y mejorar bastante, es este:



2 comments :

Jandro dijo...

Genial. Muchas gracias :)

martu dijo...

Funcionana a la perfeccion!