Popüler bilgisayar korsanlığı yardımı, kullanım ömrünün sona erdiğinin duyurulmasının ardından yeniden canlandı
XSS Hunter’ın artık Truffle Security’de bir evi var ve orijinal yaratıcısının şubatta kullanımdan kaldıracağını açıklamasının ardından aracın yeni bir sürümünü piyasaya sürdü.
XSS Hunter, web sitelerindeki siteler arası komut dosyası çalıştırma (XSS) hatalarını belirlemek için kullanılan popüler bir açık kaynak aracıdır. Çevrimiçi bir sürüm daha önce yaratıcısı Mandatory (Matthew Bryant) tarafından sürdürülüyordu.
Truffle Security’nin etki alanında barındırılan yeni sürüm, yeni özellikler ve gelişmiş güvenlik ile orijinal kodun açık kaynaklı bir çatalıdır.
Mahremiyet kaygısı
XSS çok yaygın bir güvenlik açığıdır ve örneğin, hata ödül platformu HackerOne’a gönderilen hata raporlarının %23’ünü oluşturur.
Truffle Security’nin kurucu ortağı Dylan Ayrey, “Manuel test dışında XSS aramak için en popüler araç XSSHunter” dedi. günlük yudum. “Topluluk için son derece değerli bir araç, ancak riskleri de vardı.”
Birçok XSS Hunter kullanıcısı yanlışlıkla hassas verileri platforma gönderir ve muhtemelen veri sızıntısına neden olur. Ayrey daha önce Black Hat 2022’de yaptığı bir konuşmanın konusu olan eski XSS Hunter ile çalışırken 50.000 Google kullanıcı kaydına rastlamıştı.
Ayrey, “Zorunlu hizmetten sorumlu olduğu sürece, platformun toplanan verilerle ne yapabileceği beni ilgilendirmiyordu,” dedi.
“Ancak EOL’den sonra endişeliydik. [end of life] duyurulduğunda, toplanan verilerle farklı amaçlara sahip olabilecek operatörlerle değiştirmek için başka bir araç gelebilirdi.”
Web korsanlığı araçları hakkında en son haberleri okuyun
Yeni XSS Avcısı aracı, XSS yükü tarafından işlenen hassas bilgileri korumak için platform tarafından yakalanan ekran görüntülerini bulanıklaştırır. Ayrıca, tam DOM yakalama desteğini kaldırdı ve hesap güvenliğini artırmak için Google SSO girişini zorunlu kıldı.
Mandatory, eski hizmetin kullanımdan kaldırılmasıyla ilgili olarak The Daily Swig’e “hizmette depolanan güvenlik açığı bilgilerinin miktarından giderek daha fazla rahatsız olmaya başladığını” söyledi.
“İdeal olarak, XSS avcısı kullanıcıları için bu kullanımdan kaldırmanın başaracağı sıfır güvenlik açığı bilgilerini depolamak istiyorum” dedi.
Mandatory, Truffle Security’nin çatalını “doğru yönde atılmış bir adım” olarak nitelendirdi ve şunları söyledi: “Truffle Security’nin gizliliği ve böcek ödülü araştırma çıkarlarını dengelemeye bir gözle başlamasının iyi bir işaret olduğunu düşünüyorum.”
Yeni özellikler
Truffle Security, harici sitelerin dahili etki alanlarından veri görüntülemesine ve bu alanlardan veri çıkarmasına izin verecek çapraz kaynaklar arası kaynak paylaşımı (CORS) yanlış yapılandırmaları dahil olmak üzere diğer güvenlik açıklarını algılamak için destek ekledi. Truffle Security’nin yakın zamanda farklı şirket içi ağları araştırırken keşfettiği gibi, CORS güvenlik açıkları özellikle zarar verici olabilir.
Truffle Security, TruffleHog aracının basit sürümünü yeni XSSHunter’a entegre ederek HTML sayfalarını AWS, GCP ve Slack anahtarları gibi sırlar için taramasını sağladı. Ayrıca test edilen web sitelerini .git dizinleri aracılığıyla kaynak kodu sızıntılarına karşı tarar.
Ayrey, “Hem gizlilik endişelerini gidermek hem de siber güvenlik topluluğuna XSS Hunter aracı içinde yeni yetenekler vermek için bir fırsat gördük” dedi.
Ayrey, Mandatory’nin bu çabayı desteklediğini ve süreçte yardımcı olduğunu söyledi. Truffle Security, gelecekte XSS Hunter’a TruffleHog’un daha eksiksiz bir sürümünü eklemek de dahil olmak üzere daha fazla özellik eklemeyi planlıyor.
XSS Hunter’ı uzun süredir tutkulu projesi olarak tanımlayan Mandatory, “kendi bulut sunucularını barındırmak isteyenleri desteklemek için gelecekte daha görev bilinciyle” açık kaynak xsshunter-express deposunu korumaya devam edecek.
“Hizmeti ilk kurduğumda birçok kişi kör XSS’nin ‘gerçek’ bir endişe olduğuna gerçekten inanmadı,” dedi. “Bugün kimsenin bu güvenlik açıklarının yaygınlığından ve ciddiyetinden şüphe duyduğunu düşünmüyorum, bu yüzden yapması gerekeni büyük ölçüde başardı.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR JavaScript kodunda gizli anahtarlar bulmak için bir tarayıcı uzantısı olan TruffleHog ile tanışın