O XSS Hunter é uma ferramenta popular de código aberto para identificar bugs de script entre sites (XSS) em sites. Uma versão online foi anteriormente mantida por seu criador Mandatory (Matthew Bryant).
A nova versão, hospedada no domínio da Truffle Security, é uma bifurcação de código aberto do código original com novos recursos e segurança aprimorada.
Preocupações com a privacidade
XSS é uma vulnerabilidade muito comum, respondendo por 23% dos relatórios de bugs enviados à plataforma de recompensas de bugs HackerOne, por exemplo.
“A ferramenta mais popular para procurar XSS , além do teste manual, é o XSSHunter”, disse Dylan Ayrey, cofundador da Truffle Security, ao The Daily Swig . “É uma ferramenta extremamente valiosa para a comunidade, mas também tinha riscos.”
Muitos usuários do XSS Hunter enviariam acidentalmente dados confidenciais para a plataforma e possivelmente causariam vazamento de dados. Ayrey já havia tropeçado em 50.000 registros de usuários do Google enquanto trabalhava com o antigo XSS Hunter, que se tornou o tema de uma palestra que ele deu no Black Hat 2022.
“Enquanto a Mandatory estava no comando do serviço, não me preocupei com o que a plataforma poderia fazer com os dados coletados”, disse Ayrey.
“Mas ficamos preocupados depois que o EOL [fim da vida útil] foi anunciado, outra ferramenta pode ter surgido para substituí-lo por operadoras que podem ter tido intenções diferentes com os dados coletados.”
VEJA TAMBÉM: Feds Smack Banner Health com multa de $1,25 milhão por violação
A nova ferramenta XSS Hunter desfoca as capturas de tela capturadas pela plataforma para proteger informações confidenciais renderizadas pela carga XSS. Ele também removeu o suporte para captura completa de DOM e reforça o login do Google SSO para melhorar a segurança da conta.
Com relação à descontinuação do antigo serviço, Mandatory disse ao The Daily Swig que ficou “cada vez mais desconfortável com a quantidade de informações de vulnerabilidade armazenadas no serviço.
“Idealmente, eu gostaria de armazenar informações de vulnerabilidade zero para usuários caçadores de XSS, o que essa descontinuação alcançará”, disse ele.
Mandatory descreveu o fork da Truffle Security como “um passo na direção certa” e disse: “Acho que o fato de a Truffle Security estar começando com o objetivo de equilibrar a privacidade e os interesses de pesquisa de recompensas de bugs é um bom sinal”.
Novas características
A Truffle Security adicionou suporte para detectar outros tipos de vulnerabilidades , incluindo configurações incorretas de compartilhamento de recursos de origem cruzada ( CORS ) que permitiriam que sites externos visualizassem e extraíssem dados de domínios internos. As vulnerabilidades do CORS podem ser especialmente prejudiciais, como a Truffle Security descobriu recentemente ao investigar diferentes redes corporativas internas.
A Truffle Security integrou a versão lite de sua ferramenta TruffleHog no novo XSSHunter, permitindo a varredura de páginas HTML em busca de segredos, como chaves AWS, GCP e Slack. Ele também verificará sites testados em busca de vazamentos de código-fonte por meio de diretórios .git.
“Vimos uma oportunidade tanto para abordar questões de privacidade quanto para fornecer à comunidade de segurança cibernética novos recursos na ferramenta XSS Hunter”, disse Ayrey.
Ayrey disse que a Mandatory apoiou o esforço e ajudou no processo. A Truffle Security planeja adicionar mais recursos ao XSS Hunter no futuro, incluindo a adição de uma versão mais completa do TruffleHog.
Mandatory, que descreveu o XSS Hunter como seu projeto de paixão de longa data, continuará a manter o repositório xsshunter-express de código aberto “com mais zelo no futuro para apoiar aqueles que desejam auto-hospedar sua própria instância”.
“Quando criei o serviço pela primeira vez, muitas pessoas não acreditavam que o XSS cego fosse uma preocupação ‘real’”, disse ele. “Hoje, acho que ninguém duvida da abrangência e gravidade dessas vulnerabilidades, então ele praticamente alcançou o que deveria fazer.”
14 thoughts on “Truffle Security relança ferramenta XSS Hunter com novos recursos”
Comments are closed.