运用Sboxr完成DOM XSS缝隙的主动发掘与使用

访客5年前黑客资讯1006


这一系列文章将为咱们展现如安在单页或JavaScript富应用上,运用Sboxr完成DOM XSS缝隙的主动发掘与运用。咱们将以https://domgo.at靶场中的10个DOM XSS的小操练为例,并为检测到的问题创立简略的PoC。
本文包含了前两个操练的设置阐明和解决方案。其他的咱们将在后续的文章中连续为咱们出现。咱们还将在Appsecco books发布一个gitbook,其间包含了一切操练的解决方案,网址为https://appsecco.com/books/。
什么是 DOM XSS/Client XSS?
纵观XSS的前史,DOM或客户端XSS在测验者和开发人员的心中都占有着特别的位置。运用规范的XSS检测技能往往很难检测到它们,这种XSS缝隙大多发生在 *** 富应用上。
DOM型XSS缝隙是根据文档目标模型(Document Objeet Model,DOM)的一种缝隙。DOM是一个与渠道、编程言语无关的接口,它答应程序或脚本动态地拜访和更新文档内容、结构和款式,处理后的成果能够成为显现页面的一部分。DOM中有许多目标,其间一些是用户能够操作的,如uRI ,location,refelTer等。客户端的脚本程序能够经过DOM动态地查看和修正页面内容,它不依赖于提交数据到服务器端,而从客户端取得DOM中的数据在本地履行,假如DOM中的数据没有经过严厉承认,就会发生DOM型XSS缝隙。
Sboxr
Sboxr是一个用于测验和调试Web应用程序的东西,尤其是那些具有很多JavaScript的应用程序。Sboxr处在阅读器和服务器之间运作,并注入它自己的 *** 代码(被称为DOM传感器),来监控 *** 运用,源,接收器,变量分配,函数调用等。然后,它会经过其Web操控台展现用户操控的数据的视图。
设置 Sboxr 和 Chrome
这儿我运用的体系为Ubuntu 18.04,阅读器为Chrome 72。你能够遵从以下过程进行设置:
获取Sboxr – https:// *** oxr.com/
Sboxr需求.NET Core SDK的支撑,你能够依照https://dotnet.microsoft.com/download/linux-package-manager/ubuntu18-04/sdk-current上的阐明,在Linux上进行装置。假如是Windows,请依照https://dotnet.microsoft.com/download上的阐明进行操作
装置完成后,经过运转dotnet Sboxr.dll发动Sboxr
这将在3333端口上发动Sboxr Web界面(用于办理和剖析发现的问题),端口3331为署理端口。
假如你期望运用Burp或其他署理,请阅读到http://localhost:3333/console,并单击HTTP Sensor设置上游署理(例如Burp或OWASP ZAP)的IP地址和端口。

设置完成后,咱们还需求装备阅读器向Sboxr发送流量(然后能够转发到Burp或OWASP ZAP)。

Sboxr现在尚不支撑SOCKS署理,因而你需求运用Burp或OWASP ZAP阻拦流量。
假如是HTTPS站点Sboxr或许无法正常作业,由于没有要导入的证书。因而,咱们运用带有–ignore-certificate-errors符号的Chrome疏忽证书过错。
在Linux上,指令如下:
mkdir -p ~/.chrome;/opt/google/chrome/chrome -incognito --ignore-certificate-errors --proxy-server=http=http://localhost:3331;https=http://localhost:3331 --user-data-dir=~/.chrome
在Windows上,操作如下(假设为默许装置途径):
"C:Program Files (x86)GoogleChromeApplicationchrome.exe" -incognito --ignore-certificate-errors --proxy-server=http=http://localhost:3331;https=http://localhost:3331 --user-data-dir="C:Users%Username%AppDataLocalTempTestChromeProxy"
DOM XSS 的检测和运用
下面我将为咱们展现前两个DOM型XSS的小操练。
Exercise 1
翻开https://domgo.at/,然后单击左边选项栏中的Exercise 1。
切换到Sboxr操控台,并单击Sboxr侧栏中的Code Execution

[1] [2]  黑客接单网

相关文章

又见陈旧的Typosquatting进犯:这次侵略Npm盗取开发者身份凭据

有些进犯方式尽管听起来很天真,但有时分却也能够收效,比方typosquatting进犯——咱们前次看到这种进犯是在上一年6月份,这自身也是种很陈旧的进犯方式。 所谓的typosquatting,主要...

小学生都会挖掘的JSON Hijacking实战利用

JSON Hijacking缝隙的具体使用,有点相似与CSRF,不过原理使用方法不同,在这边文章我侧重解说json跨域绑架的使用环境建立与方法。 0×01缝隙的发掘 一般发掘的过程中,burpsuit...

代码审计系列第二节——SQL注入

 经过第一节给咱们简略介绍了一下代码审计简略运用,那么第二节,咱们来介绍一下,使用东西和手艺进行缝隙发掘。为了咱们能对sql注入有更好的学习和收成。引荐咱们几个学习php根底的网站 Imooc.co...

【对立蠕虫】怎么维护网页里的按钮,不被 XSS 主动点击

前语 XSS 主动点按钮有什么损害? 在交际网络里,大多操作都是经过点击按钮建议的。例如宣布留言,假设留言体系有 BUG,那么 XSS 就能主动点击发送按钮,发布带有恶意代码的留言。老友看了中招后,又...

Vegan-可以防护BeEF进犯的Chrome扩展插件

阅读器运用结构(BeEF)是一个易于运用的开源东西,许多安全职业的从业人员和黑客都可以运用它来对网页阅读器进行进犯。现在,已知的可以抵挡BeEF进犯的办法十分的少,所以我决议开发一个Chrome阅读...

使用osquery进行远程取证-黑客接单平台

Osquery是一个SQL驱动操作体系检测和剖析东西,它由Facebook创立,支撑像SQL句子相同查询体系的各项目标,能够用于OSX和Linux操作体系。别的,osquery是一个多渠道软件,能够安...