Con este pequeño conjunto de herramientas de pentesting de código abierto se puede crear un archivo de imagen (.jpg), un audio (.mp3) o incluso un video vídeo (.mp4) que contenga metadatos personalizados o un conjunto de «cross-site scripting vectors» para probar cualquier webservice contra posibles vulnerabilidades XSS al mostrar metadatos no filtrados.
Metadata-Attacker | Instalación / Uso
Primero instalar Docker en tu sistema host y simplemente ejecutar el siguiente comando:
sudo docker run -p 80:80 --rm lednerb/metadata-attacker
Una vez finalizado, podes abrir tu navegador favorito y entrar a la siguiente dirección http://localhost
Fuente: https://www.kitploit.com/2018/10/metadata-attacker-tool-to-generate.html
Comentarios