免费接单黑客

基于Chromium 的 XSS 检测工具,BurpSuite 靶场实践

3

 

1 介绍XSS 是网络中最常见的漏洞,再配合其它的攻击手段往往能轻易敲开服务器的大门。在各大漏洞平台中,XSS 漏洞也是数量最多的。本文介绍基于 Chromium 源码实现的 XSS 检测工具,该工具采用动态污染追踪(Taint Tracking)技术,可以监测 source 与 sink 之间的数据流动过程,为人工验证提供详实可靠的依据。

 

2 工具演示视频(1) 我的工具如何检测 XSS?Burp Suite 靶场实践 (1) https://www.zhihu.com/zvideo/1505471657166282752(2) 我的工具如何检测 XSS?Burp Suite 靶场实践 (2) https://www.zhihu.com/zvideo/1505847898797969409视频还在更新中… …

 

3 原理介绍污点分析技术(taint analysis, 又被称作信息流跟踪技术)是自动检测 XSS 的理论基础,它是信息流分析技术的一种实践方法, 该技术通过标记系统中的敏感数据, 进而跟踪‘标记数据’在程序中的传播过程, 以检测系统安全问题。

 

4 敏感数据在污点分析技术中,最重要的两个概念分别是敏感数据和传播记录。首先引入敏感数据的定义:由 source 开始,经过传播后进入 sink 并引发“数据与指令的错用”的数据被定义为敏感数据。其中 source 为污染源点,也就是数据的生产者。sink 为污染终点,也就是数据的消费者。攻击者可以控制的输入被称作污染源点,常规的污染源点如下://Source 代表 document、location、elementSource.baseURISource.cookieSource.documentURISource.domainSource.URLSource.referrerSource.textContentSource.titleSource.hashSource.hostnameSource.hrefSource.pathnameSource.searchSource.classNameSource.innerHTMLSource.namespaceURI

漏洞的本质是数据与指令的错用,所以能消费敏感数据的方法(函数或属性)都是污染终点,常规的污染终点如下://以下是全局方法setTimeout()setInterval()Function()alert()eval()window.postMessage()//Sink 代表 document、location、elementSink.write()Sink.writeln()Sink.createComment()Sink.createTextNode()Sink.createElement()Sink.innerHTMLSink.classNameSink.innerTextSink.textContentSink.titleSink.href

 

5 传播记录接下来引入传播记录的定义:被 sink 消费的数据的来源以及变化过程称为传播记录。传播记录描述了数据从 source 到 sink 的变化过程,传播记录的完整性直接影响 XSS 的检测结果。衡量传播记录的指标主要有:(1) 传播记录是否全面、完整地描述了数据的变化过程;(2) 传播记录是否可以做到字符级别的描述。

众所周知,触发 XSS 漏洞的字符串往往是来自于不同 source 的字符的组合,如果不能完整记录数据变化的过程或做不到字符级别的描述,那将会产生大量的漏报。通过分析 ES 和 HTML 规范可以得知:以下的 API 可以修改字符串。做好以下这些 API 的记录就可以最大程度保证传播记录的完整性。

String.prototype.anchor 用于创建 a 标签,样例代码如下:

var myString = "Table of Contents";document.body.innerHTML = myString.anchor("contents_anchor");//输出.............<a name="contents_anchor">Table of Contents</a>1. String.prototype.big 创建带有 big 标签的字符串,样例代码如下:

var worldString = 'Hello, world';console.log(worldString.big()); // <big>Hello, world</big>3. String.prototype.blink 创建带有 blink 标签的字符串,样例代码如下:

var worldString = 'Hello, world';console.log(worldString.blink()); // <blink>Hello, world</blink>4. String.prototype.charAt

5. String.prototype.charCodeAt,charCodeAt() 方法返回指定位置的字符的 Unicode 编码。返回值是 0 – 65535 之间的整数。

6. String.prototype.codePointAt()

7. String.prototype.concat,concat() 方法拼接两个或多个字符串并返回一个新的字符串

8. String.prototype.fixed,样例代码如下:

var worldString = 'Hello, world';console.log(worldString.fixed()); // "<tt>Hello, world</tt>"9. String.prototype.fontcolor,样例代码如下:

var worldString = 'Hello, world';console.log(worldString.fontcolor('red') + ' is red in this line');// '<font color="red">Hello, world</font> is red in this line'10. String.prototype.fontsize

11. String.prototype.link,样例代码如下:

var hotText = 'MDN';var url = 'https://developer.mozilla.org/';console.log('Click to return to ' + hotText.link(url));// Click to return to <a href="https://developer.mozilla.org/">MDN</a>12. String.prototype.italics,样例代码如下:

var worldString = 'Hello, world'; console.log(worldString.blink());//"<i>str</i>"13. String.prototype.match

14. String.prototype.search

15. String.prototype.matchAll

16. String.prototype.normalize

17. String.prototype.padEnd,样例代码如下:

const str1 = 'Breaded Mushrooms';console.log(str1.padEnd(25, '.'));// expected output: "Breaded Mushrooms........"18. String.prototype.padStart

19. String.prototype.repeat

20. String.prototype.replace

21. String.prototype.slice

22. String.prototype.small,样例代码如下:

var worldString = 'Hello, world';console.log(worldString.small()); // <small>Hello, world</small>22. String.prototype.split

23. String.prototype.strike

24. String.prototype.sub,样例代码如下:

var worldString = 'Hello, world';console.log(worldString.sub()); // <sub>Hello, world</sub>25. String.prototype.substr

26. String.prototype.substring

27. String.prototype.sup

28. String.prototype.toLocaleLowerCase

29. String.prototype.toLocaleUpperCase

30. String.prototype.toLowerCase

31. String.prototype.toUpperCase

32. String.prototype.toString

33. String.prototype.trim  The trim() method removes whitespace from both ends of a string and returns a new string, without modifying the original string.

34. String.prototype.trimEnd

35. String.prototype.trimStart

36. String.prototype.valueOf

37. RegExp.prototype.exec

38. document.write

39. document.writeln

40. decodeURI  encodeURI  decodeURIComponent  encodeURIComponent  unescape  escape

41. postMessage

42. ‘+’ 加法

总结,检测 XSS就是记录数据从生产者到消费者的传播过程,这正污点分析技术的应有之义。

个人能力有限,有不足与纰漏,欢迎批评指正微信:qq9123013 备注:v8交流 邮箱:v8blink@outlook.com

标签: