BeEF
BeEF | |
---|---|
Browser Exploitation Framework | |
Desenvolvedor | Wade Alcorn e outros |
Versão estável | 0.4.5.0 (25 de abril de 2014 | )
Escrito em | Ruby/JavaScript |
Sistema operacional | Multiplataforma |
Gênero(s) | Segurança de computadores |
Licença | GPL |
Estado do desenvolvimento | Ativo |
Página oficial | beefproject |
O Browser Exploitation Framework (BeEF) é uma ferramente de teste de penetração de código aberto usada para testar e explorar aplicações web e vulnerabilidades baseadas em navegador. O BeEF fornece aos testadores de penetração vetores de ataque práticos do lado do cliente. Ele aproveita as vulnerabilidades da aplicação e do navegador para avaliar a segurança de um alvo e realizar outras invasões. Este projeto é desenvolvido para pesquisas legais e testes de penetração. Na prática, como muitas outras ferramentas de segurança da informação, o BeEF é usado para atividades legítimas e não autorizadas.
Ele conecta um ou mais navegadores web como cabeças de ponte para a execução de módulos de comando direcionados. Cada navegador possivelmente esteja dentro de um contexto de segurança diferente, e cada contexto pode fornecer um conjunto de vetores de ataque únicos.
O BeEF pode ser usado para continuar a explorar uma falha de cross site scripting (XSS) em uma aplicação web. A falha XSS permite que um invasor injete código Javascript do projeto BeEF dentro da página web vulnerável. Na terminologia do BeEF, o navegador que já visitou a página vulnerável está "viciado". Este código injetado no navegador "viciado" então responde aos comandos do servidor BeEF. O servidor BeEF é uma aplicação Ruby on Rails que se comunica com o "navegador viciado" através de uma interface de usuário baseada na web. O BeEF vem com as distribuições BackTrack e Kali Linux.
Ele pode ser estendido tanto por meio da API de extensão, que permite alterações à forma como BeEF funciona, e através da adição de módulos, que adicionam recursos com os quais controlam-se os navegadores "viciados".[1]