bWAPP 1 - XSS Reflected: Overview, Exploração e Mitigação

Com uma série de postagens, pretendo apresentar algumas vulnerabilidades da plataforma bWAPP (bee-bug), demonstrando a sua causa, uma Prova de Conceito da sua exploração e como é feita a correção para ela.

XSS - Cross-site scripting: Essa é uma vulnerabilidade que tem como objetivo atacar o cliente do site. Injetando scripts maliciosos nesse cliente, podendo modificar como o conteúdo é apresentado, roubar a sua sessão de acesso, vazar informações do usuário, ou executar qualquer tipo de script no lado do cliente.

bWAPP - Buggy Web Application - Ambiente controlado para Ethical Hacking

bWAPP (Buggy Web Application) é uma aplicação web deliberadamente insegura. Ela possui diversas vulnerabilidades presentes em ambientes reais e pode ser considerada um excelente substituto para o DVWA - Damn Vulnerable Web Application como plataforma de ensino e aprendizagem de Penetration Testing. Sendo um ambiente completo e controlado para Testes de Intrusão e Ethical Hacking, ela também pode ser encontrada dentro do seu virtual appliance: bee-bug, que possui além das mais de 100 vulnerabilidades web mais diversas vulnerabilidades de de Infra-Estrutura, como por exemplo: SSL (BEAST/CRIME/BREACH/Poodle) e até serviços de VNC/FTP/NTP ou SNMP deliberadamente mal configurados.