基于Chromium 的 XSS 检测工具,BurpSuite 靶场实践

阅读量    76588 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

1 介绍

XSS 是网络中最常见的漏洞,再配合其它的攻击手段往往能轻易敲开服务器的大门。在各大漏洞平台中,XSS 漏洞也是数量最多的。本文介绍基于 Chromium 源码实现的 XSS 检测工具,该工具采用动态污染追踪(Taint Tracking)技术,可以监测 source 与 sink 之间的数据流动过程,为人工验证提供详实可靠的依据。

 

2 工具演示视频

(1) 我的工具如何检测 XSS?Burp Suite 靶场实践 (1) https://www.zhihu.com/zvideo/1505471657166282752
(2) 我的工具如何检测 XSS?Burp Suite 靶场实践 (2) https://www.zhihu.com/zvideo/1505847898797969409
视频还在更新中… …

 

3 原理介绍

污点分析技术(taint analysis, 又被称作信息流跟踪技术)是自动检测 XSS 的理论基础,它是信息流分析技术的一种实践方法, 该技术通过标记系统中的敏感数据, 进而跟踪‘标记数据’在程序中的传播过程, 以检测系统安全问题。

 

4 敏感数据

在污点分析技术中,最重要的两个概念分别是敏感数据和传播记录。首先引入敏感数据的定义:由 source 开始,经过传播后进入 sink 并引发“数据与指令的错用”的数据被定义为敏感数据。其中 source 为污染源点,也就是数据的生产者。sink 为污染终点,也就是数据的消费者。
攻击者可以控制的输入被称作污染源点,常规的污染源点如下:
//Source 代表 document、location、element
Source.baseURI
Source.cookie
Source.documentURI
Source.domain
Source.URL
Source.referrer
Source.textContent
Source.title
Source.hash
Source.hostname
Source.href
Source.pathname
Source.search
Source.className
Source.innerHTML
Source.namespaceURI

漏洞的本质是数据与指令的错用,所以能消费敏感数据的方法(函数或属性)都是污染终点,常规的污染终点如下:
//以下是全局方法
setTimeout()
setInterval()
Function()
alert()
eval()
window.postMessage()
//Sink 代表 document、location、element
Sink.write()
Sink.writeln()
Sink.createComment()
Sink.createTextNode()
Sink.createElement()
Sink.innerHTML
Sink.className
Sink.innerText
Sink.textContent
Sink.title
Sink.href

 

5 传播记录

接下来引入传播记录的定义:被 sink 消费的数据的来源以及变化过程称为传播记录。
传播记录描述了数据从 source 到 sink 的变化过程,传播记录的完整性直接影响 XSS 的检测结果。衡量传播记录的指标主要有:
(1) 传播记录是否全面、完整地描述了数据的变化过程;
(2) 传播记录是否可以做到字符级别的描述。

众所周知,触发 XSS 漏洞的字符串往往是来自于不同 source 的字符的组合,如果不能完整记录数据变化的过程或做不到字符级别的描述,那将会产生大量的漏报。通过分析 ES 和 HTML 规范可以得知:以下的 API 可以修改字符串。做好以下这些 API 的记录就可以最大程度保证传播记录的完整性。

String.prototype.anchor 用于创建 a 标签,样例代码如下:

var myString = "Table of Contents";

document.body.innerHTML = myString.anchor("contents_anchor");

//输出.............

<a name="contents_anchor">Table of Contents</a>

1. String.prototype.big 创建带有 big 标签的字符串,样例代码如下:

var worldString = 'Hello, world';

console.log(worldString.big());       // <big>Hello, world</big>

3. String.prototype.blink 创建带有 blink 标签的字符串,样例代码如下:

var worldString = 'Hello, world';

console.log(worldString.blink());   // <blink>Hello, world</blink>

4. String.prototype.charAt

5. String.prototype.charCodeAt,charCodeAt() 方法返回指定位置的字符的 Unicode 编码。返回值是 0 – 65535 之间的整数。

6. String.prototype.codePointAt()

7. String.prototype.concat,concat() 方法拼接两个或多个字符串并返回一个新的字符串

8. String.prototype.fixed,样例代码如下:

var worldString = 'Hello, world';

console.log(worldString.fixed()); // "<tt>Hello, world</tt>"

9. String.prototype.fontcolor,样例代码如下:

var worldString = 'Hello, world';

console.log(worldString.fontcolor('red') +  ' is red in this line');

// '<font color="red">Hello, world</font> is red in this line'

10. String.prototype.fontsize

11. String.prototype.link,样例代码如下:

var hotText = 'MDN';

var url = 'https://developer.mozilla.org/';

console.log('Click to return to ' + hotText.link(url));

// Click to return to <a href="https://developer.mozilla.org/">MDN</a>

12. String.prototype.italics,样例代码如下:

var worldString = 'Hello, world'; console.log(worldString.blink());

//"<i>str</i>"

13. String.prototype.match

14. String.prototype.search

15. String.prototype.matchAll

16. String.prototype.normalize

17. String.prototype.padEnd,样例代码如下:

const str1 = 'Breaded Mushrooms';



console.log(str1.padEnd(25, '.'));

// expected output: "Breaded Mushrooms........"

18. String.prototype.padStart

19. String.prototype.repeat

20. String.prototype.replace

21. String.prototype.slice

22. String.prototype.small,样例代码如下:

var worldString = 'Hello, world';

console.log(worldString.small());     // <small>Hello, world</small>

22. String.prototype.split

23. String.prototype.strike

24. String.prototype.sub,样例代码如下:

var worldString = 'Hello, world';

console.log(worldString.sub());     // <sub>Hello, world</sub>

25. String.prototype.substr

26. String.prototype.substring

27. String.prototype.sup

28. String.prototype.toLocaleLowerCase

29. String.prototype.toLocaleUpperCase

30. String.prototype.toLowerCase

31. String.prototype.toUpperCase

32. String.prototype.toString

33. String.prototype.trim  The trim() method removes whitespace from both ends of a string and returns a new string, without modifying the original string.

34. String.prototype.trimEnd

35. String.prototype.trimStart

36. String.prototype.valueOf

37. RegExp.prototype.exec

38. document.write

39. document.writeln

40. decodeURI  encodeURI  decodeURIComponent  encodeURIComponent  unescape  escape

41. postMessage

42. ‘+’ 加法

总结,检测 XSS就是记录数据从生产者到消费者的传播过程,这正污点分析技术的应有之义。

个人能力有限,有不足与纰漏,欢迎批评指正
微信:qq9123013 备注:v8交流 邮箱:v8blink@outlook.com

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多