Mars (la guerre) qui entre en conjonction avec le signe de la Faille et du Malware sera bénéfique toute la première partie du mois pour les chasseurs de vulnérabilités et les amateurs de fuzzing. GNU Citizen leur apprend la renaissance du projet BeEF le Browser Exploitation Framework qui, comme son nom ne l’indique pas, a été totalement réécrit en Ruby… ce qui facilite par ailleurs son intégration dans Metasploit. C’est donc là une impressionnante collection d’exploits visant les clients http, sujet on ne peut plus à la mode.
Ludovic Courgnaud, pour sa part, rappelle l’existence de XSSFramework, encore une plateforme, mais destinée celle-ci à montrer les dangers des attaques XSS. Et, ho surprise, XSSF s’intègre dans Metasploit. Le sujet n’est pas très « grand public » et Ludovic Courgnaud parvient à expliquer avec des termes simples, sans jargon, les origines et les dangers des attaques en « cross site scripting ». Dangers grandissants avec la généralisation d’appareils mobiles « intelligents » s’appuyant sur des systèmes d’exploitation vulnérables. Tout çà est sur le blog de Conix, en Français, d’une limpidité remarquable : à imprimer et à utiliser dans le cadre des documents de « sensibilisation »… tant l’article lui-même que l’utilisation de XSSF. A noter que les attaques XSS feront également l’objet d’une communication de la part de Nicolas Grégoire à l’occasion des prochaines SSTIC. On attend du « lourd » en la matière.