Truffle Security 重新启动 XSS Hunter 工具并新增功能
流行黑客辅助工具 XSS Hunter 在宣布终止服务后,现由 Truffle Security 接手并发布新版本,新增 CORS 错误配置检测功能。
XSS Hunter 是一款广泛使用的开源工具,用于识别网站中的跨站脚本(XSS)漏洞。新版本托管于 Truffle Security 域名下,是基于原始代码的开源分支,具备新功能和增强的安全性。用户也可迁移到其他可用分支。
XSS Hunter 的原始架构师“Mandatory”(又名 Matthew Bryant)称该项目为他长期的兴趣项目,并表示未来将更负责地维护 xsshunter-express 代码库,以支持希望自托管实例的用户。
隐私问题
XSS 是一种非常常见的漏洞,例如在漏洞赏金平台 HackerOne 提交的漏洞报告中占 23%。
Truffle Security 联合创始人 Dylan Ayrey 表示:“除了手动测试外,寻找 XSS 最流行的工具是 XSS Hunter。它对社区极具价值,但也存在风险。”
许多 XSS Hunter 用户曾意外向平台发送敏感数据,可能导致数据泄露。Ayrey 在使用旧版 XSS Hunter 时曾偶然发现 5 万条 Google 用户记录,该事件成为他在 Black Hat 2022 演讲的主题。
Ayrey 说:“只要 Mandatory 负责该服务,我就不担心平台会如何处理收集的数据。但在宣布终止服务(EOL)后,我们担心可能有其他工具取代它,而其运营者可能对数据有不同的意图。”
新版 XSS Hunter 工具对平台捕获的截图进行模糊处理,以保护 XSS 载荷呈现的敏感信息。它还取消了对完整 DOM 捕获的支持,并强制使用 Google 单点登录(SSO)以提高账户安全性。
关于旧服务的弃用,Mandatory 表示他对“服务中存储的漏洞信息量越来越感到不安”,并称“理想情况下,我希望为 XSS Hunter 用户存储零漏洞信息,此次弃用将实现这一目标。”
Mandatory 认为 Truffle Security 的分支是“朝正确方向迈出的一步”,并表示:“Truffle Security 从一开始就注重平衡隐私和漏洞赏金研究利益,这是一个好迹象。”
新功能扩展
Truffle Security 新增了对其他类型漏洞的检测支持,包括跨源资源共享(CORS)错误配置,这些配置可能允许外部站点查看和提取内部域的数据。CORS 漏洞可能尤其具有破坏性,Truffle Security 最近在调查不同的企业内部网络时发现了这一点。
Truffle Security 还将其 TruffleHog 工具的精简版集成到新版 XSS Hunter 中,使其能够扫描 HTML 页面以查找 AWS、GCP 和 Slack 密钥等机密信息。它还将通过 .git 目录扫描测试网站的源代码泄漏。
Ayrey 表示:“我们看到了一个机会,既可以解决隐私问题,又可以为网络安全社区提供 XSS Hunter 工具的新功能。”
Ayrey 称 Mandatory 支持这一努力并在过程中提供了帮助。Truffle Security 计划未来为 XSS Hunter 添加更多功能,包括更完整的 TruffleHog 版本。
Mandatory 补充道:“当我最初构建该服务时,许多人并不真正相信盲 XSS 是一个‘真正’的问题。如今,我认为没有人怀疑这些漏洞的普遍性和严重性,因此它基本实现了其初衷。”
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
