miércoles, julio 08, 2009

Blind XPath Injector (BXPI)

A parte de dedicarme a dar charlitas en plan "Security Porn Star" por cualquier escenario que me dejan, practico la docencia en Masters de Seguridad. En estos masters me suelo enredar en la dirección de algún proyecto de finalización para hacer alguna cosa que me esté rondando el melón. Ya sabéis, esclavos, mano de obra de low cost, y esas cosas que se hacen con los alumnos.

En este caso es el Master de Seguridad de la Información de la Universidad Europea de Madrid el que está terminando y ahí he tenido la suerte de dirigir a David, que ha resultado ser una de esas personas que se toman su trabajo en serio. David trabaja en seguridad de lunes a viernes y, como el resto de sus compañeros del curso, dedica los viernes por la tarde y el sábado hasta las 16:30 de la tarde a estudiar el postgrado. Aún así, sacan tiempo por las tardes de entre semana para hacer los trabajos y el proyecto fin de master.

Yo propuse hacer una POC para implementar el mecanismo de Blind XPath Injection descrito por Amit Klein en el año 2004. David se ha estado pegando con las consultas XPath y ha terminado ya la primera versión de la herramienta que ha puesto a disposición de todo el mundo como un proyecto en Codeplex. Puedes descargarte Blind XPath Injector y también el código fuente por si quieres leértelo para garantizar que no hay ningún troyano, aprender cómo está desarrollado e incluso mejorarlo.


Blind XPath Injector

Si quieres, además, puedes venir a ver la presentación oficial de la herramienta en la presentación de proyectos que tendrá lugar este sábado día 11 de Julio, por la mañana en Villaviciosa y en la que se presentarán más proyectos.

Saludos Malignos!

1 comentario:

  1. You might want to look at vtd-xml for a better implementation for XPath

    http://vtd-xml.sf.net

    ResponderEliminar