Max Home IndustryXSS Hunter — это недавно запущенная платформа, которая значительно упрощает отслеживание и организацию пентестинга на уязвимости XSS. С его помощью вы можете запускать все виды XSS-атак, но особенно ярко он проявляется при проведении Blind XSS-атак.
Слепая XSS-атака представляет собой разновидность сохраненных или постоянных атак и обычно затрагивает веб-приложения, которые позволяют пользователям хранить данные. Это происходит, когда злоумышленник использует уязвимость, которая позволяет ему сохранять свои полезные данные на стороне сервера (т. Е. В базе данных), а затем обслуживается вместе с остальным содержимым уязвимой страницы, таким образом затрагивая всех тех, кто посещает уязвимую веб-страницу. . Ярким примером является заминированный комментарий, размещенный на публичном форуме, при нажатии на который запускается эксплойт.
Что делает атаку слепой, так это то, что, хотя злоумышленнику удается сохранить полезную нагрузку, он не обращает внимания на то, где и когда произойдет фактическое выполнение эксплойта, поскольку существует множество целевых источников, которые используют общее хранилище данных, загружая полезную нагрузку и выгружая ее. это через приложения или даже границы сети.
Расширяя пример комментариев с ловушками, предположим, что администратор форума после аутентификации входит в свою панель управления и посещает зараженную страницу, чтобы просмотреть очередь комментариев, ожидающих модерации. При посещении зараженной страницы эксплойт запускается, запускает вредоносный код в своем браузере, крадет файлы cookie сеанса и делает злоумышленника способным выдать себя за самого администратора, разделяя его полномочия и расширенные привилегии под его контролем.
Важно отметить, что этот вид атаки не требует явного нажатия на заминированную ссылку, как в случае фишинговых атак, а инициируется простым посещением зараженной страницы; загрузки простого более чем достаточно.
Очевидно, что такую атаку с такой продолжительностью жизни и скрытным подходом очень сложно отследить.
Здесь вмешивается XSS Hunter, бесплатная служба, предназначенная для использования как профессионалами в области безопасности, так и охотниками за ошибками. XSS Hunter отправляет злоумышленнику электронное письмо, уведомляя его о том, что ловушка только что сработала, и что есть более подробные сведения, ожидающие оценки в его панели управления Hunter.
Рабочий процесс четко изложен в целях миссии платформы:
После регистрации вы создадите специальный короткий домен xss.ht, такой как yoursubdomain.xss.ht, который идентифицирует ваши XSS-уязвимости и размещает ваши полезные данные. Затем вы используете этот поддомен в своем тестировании XSS, используя попытки внедрения, такие как ‘>’. XSS Hunter будет автоматически обслуживать зонды XSS и собирать полученную информацию при срабатывании.
Например, мы получили пользовательский домен https: //test1.xss.ht, который теперь можно использовать в полезных данных, например: ‘>’
При доступе к панели нам предоставляется экран, содержащий журнал всех событий атаки и соответствующие данные, полученные с машины жертвы. Эти данные включают IP-адрес жертвы, полные снимки экрана с содержимым страницы, которая инициировала событие, и отчеты, содержащие различные другие сведения, такие как:
- URI уязвимой страницы
- Происхождение казни
- Ссылка страницы
- Пользовательский агент жертвы
- Все файлы cookie, не относящиеся к HTTP
- Полная HTML DOM страницы
- Ответственный HTTP-запрос (если используется инструмент, совместимый с XSS Hunter)
Чтобы протестировать и засвидетельствовать это в действии, мы опробовали его на игровом сайте Google XSS, сайте, предназначенном для ознакомления разработчиков с уязвимостями XSS, поощряя их взламывать его.
Мы не будем проводить какие-либо Stored или Blind XSS-атаки, а будем выполнять самовзлом с использованием Reflected XSS, доказывая, что Hunter действительно работает со всеми типами XSS.
Итак, для продвижения по уровню 2 мы должны создать и ввести полезную нагрузку, например:
в поле сообщения формы. Вместо того, чтобы делать это вручную, мы использовали полезную нагрузку, которая была динамически сгенерирована XSS hunter, подчеркнув еще одну замечательную особенность платформы:
При нажатии на кнопку «Поделиться статусом» выполняется атака, которая сразу же регистрируется в нашей панели управления, и в то же время выдается электронное письмо, информирующее нас о том, что: «XSS Payload Fired On https: //xss-game.appspot. com / level2 / frame «
Очень интересно то, что созданный отчет содержит общее сообщение:
Точка внедрения (необработанный HTTP-запрос) не смогла сопоставить пожар полезной нагрузки XSS с запросом!
Если бы мы использовали инструмент пентеста, совместимый с Hunter, мы могли бы видеть фактическую полезную нагрузку, которая инициировала предупреждение, вместо этого расплывчатого и общего сообщения, что было бы очень полезно при запуске слепых атак, поскольку вы обычно используете большие количество полезных нагрузок, чтобы получить гораздо больший охват и увеличить вероятность срабатывания ловушки. Одним из таких инструментов, который рекомендуется использовать, если вы ищете полный опыт, является клиентское приложение XSShunter, доступное на GitHub.
Подводя итог, XSS Hunter, взяв на себя половину работы, необходимой для выполнения XSS-атаки, поднимает игру с пентестингом на новый уровень, помогая злоумышленнику просто сосредоточиться на части исследования, сбора или разработки полезных нагрузок, включая их в Платформа охотника и стрельба из них по потенциальным целям. Для хорошей базы данных полезной нагрузки я бы порекомендовал Fuzzdb:
Самая полная база данных с открытым исходным кодом, содержащая вредоносные входные данные, предсказуемые имена ресурсов, строки с возможностью поиска для сообщений ответа сервера и другие ресурсы, такие как веб-оболочки.
Имейте в виду, что этот инструмент следует использовать только для целей пентеста, для которых было получено соответствующее разрешение. Действующая политика очень строгая и не поддерживает и не поощряет использование платформы для совершения незаконных действий.