DOM Invader
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Το DOM Invader είναι ένα εργαλείο προγράμματος περιήγησης που είναι εγκατεστημένο στον ενσωματωμένο περιηγητή του Burp. Βοηθά στην ανίχνευση ευπαθειών DOM XSS χρησιμοποιώντας διάφορες πηγές και καταβυθίσεις, συμπεριλαμβανομένων των διαδικτυακών μηνυμάτων και της ρύθμισης πρωτοτύπων. Το εργαλείο είναι προεγκατεστημένο ως επέκταση.
Το DOM Invader ενσωματώνει μια καρτέλα μέσα στο πάνελ DevTools του προγράμματος περιήγησης που επιτρέπει τα εξής:
Αναγνώριση ελέγξιμων καταβυθίσεων σε μια ιστοσελίδα για δοκιμές DOM XSS, παρέχοντας λεπτομέρειες σχετικά με το πλαίσιο και την απολύμανση.
Καταγραφή, επεξεργασία και επαναποστολή διαδικτυακών μηνυμάτων που αποστέλλονται μέσω της μεθόδου postMessage()
για δοκιμές DOM XSS. Το DOM Invader μπορεί επίσης να ανιχνεύσει αυτόματα ευπάθειες χρησιμοποιώντας ειδικά κατασκευασμένα διαδικτυακά μηνύματα.
Ανίχνευση πηγών ρύθμισης πρωτοτύπων από την πλευρά του πελάτη και σάρωση ελέγξιμων gadget που αποστέλλονται σε επικίνδυνες καταβυθίσεις.
Αναγνώριση ευπαθειών DOM clobbering.
Στον ενσωματωμένο περιηγητή του Burp, μεταβείτε στην επέκταση Burp και ενεργοποιήστε την:
Τώρα ανανεώστε τη σελίδα και στα Dev Tools θα βρείτε την καρτέλα DOM Invader:
Στην προηγούμενη εικόνα μπορείτε να δείτε μια τυχαία ομάδα χαρακτήρων, που είναι το Canary. Θα πρέπει τώρα να αρχίσετε να εισάγετε το Canary σε διάφορα μέρη του ιστού (params, forms, url...) και κάθε φορά να κάνετε κλικ στην αναζήτηση. Το DOM Invader θα ελέγξει αν το canary κατέληξε σε οποιαδήποτε ενδιαφέρουσα καταβύθιση που θα μπορούσε να εκμεταλλευτεί.
Επιπλέον, οι επιλογές Inject URL params και Inject forms θα ανοίξουν αυτόματα μια νέα καρτέλα εισάγοντας το canary σε κάθε παράμετρο URL και φόρμα που βρίσκει.
Αν θέλετε απλώς να βρείτε πιθανές καταβυθίσεις που μπορεί να έχει η σελίδα, ακόμη και αν δεν είναι εκμεταλλεύσιμες, μπορείτε να αναζητήσετε ένα κενό canary.
Το DOM Invader επιτρέπει τη δοκιμή για DOM XSS χρησιμοποιώντας διαδικτυακά μηνύματα με δυνατότητες όπως:
Καταγραφή διαδικτυακών μηνυμάτων που αποστέλλονται μέσω postMessage()
, παρόμοια με την καταγραφή ιστορικού αιτημάτων/απαντήσεων HTTP του Burp Proxy.
Τροποποίηση και επανέκδοση διαδικτυακών μηνυμάτων για χειροκίνητη δοκιμή DOM XSS, παρόμοια με τη λειτουργία του Burp Repeater.
Αυτόματη τροποποίηση και αποστολή διαδικτυακών μηνυμάτων για έλεγχο DOM XSS.
Λεπτομερείς πληροφορίες μπορούν να προβληθούν για κάθε μήνυμα κάνοντας κλικ σε αυτό, οι οποίες περιλαμβάνουν αν η JavaScript από την πλευρά του πελάτη έχει πρόσβαση στις ιδιότητες origin
, data
ή source
του μηνύματος.
origin
: Αν οι πληροφορίες προέλευσης του μηνύματος δεν ελέγχονται, μπορεί να είστε σε θέση να στείλετε διασυνοριακά μηνύματα στον χειριστή γεγονότων από μια αυθαίρετη εξωτερική τοποθεσία. Αλλά αν ελέγχεται, μπορεί να είναι ακόμα ανασφαλές.
data
: Εδώ είναι όπου αποστέλλεται το payload. Αν αυτά τα δεδομένα δεν χρησιμοποιούνται, η καταβύθιση είναι άχρηστη.
source
: Αξιολογεί αν η ιδιότητα source, που συνήθως αναφέρεται σε iframe, επικυρώνεται αντί για την προέλευση. Ακόμα και αν αυτό ελέγχεται, δεν διασφαλίζει ότι η επικύρωση δεν μπορεί να παρακαμφθεί.
Από την προβολή Messages, κάντε κλικ σε οποιοδήποτε μήνυμα για να ανοίξετε το παράθυρο λεπτομερειών του μηνύματος.
Επεξεργαστείτε το πεδίο Data όπως απαιτείται.
Κάντε κλικ στο Send.
Το DOM Invader μπορεί επίσης να αναζητήσει ευπάθειες ρύθμισης πρωτοτύπων. Πρώτα, πρέπει να το ενεργοποιήσετε:
Στη συνέχεια, θα αναζητήσει πηγές που σας επιτρέπουν να προσθέσετε αυθαίρετες ιδιότητες στο Object.prototype
.
Αν βρεθεί κάτι, θα εμφανιστεί ένα κουμπί Test για να δοκιμάσετε την ανευρεθείσα πηγή. Κάντε κλικ σε αυτό, θα εμφανιστεί μια νέα καρτέλα, δημιουργήστε ένα αντικείμενο στην κονσόλα και ελέγξτε αν η testproperty
υπάρχει:
Μόλις βρείτε μια πηγή μπορείτε να σκανάρετε για gadget:
Ένας νέος πίνακας ανοίγει από το DOM Invader όταν το κουμπί Scan for gadgets, το οποίο μπορεί να βρεθεί δίπλα σε οποιαδήποτε αναγνωρισμένη πηγή πρωτοτύπου ρύπανσης στην προβολή DOM, πατηθεί. Η σάρωση για κατάλληλα gadgets ξεκινά.
Εν τω μεταξύ, στην ίδια καρτέλα, η καρτέλα DOM Invader θα πρέπει να είναι ανοιχτή στο πάνελ DevTools. Αφού ολοκληρωθεί η σάρωση, οποιοιδήποτε αποδέκτες προσβάσιμοι μέσω των αναγνωρισμένων gadgets εμφανίζονται στην προβολή DOM. Για παράδειγμα, μια ιδιότητα gadget με όνομα html
που μεταφέρεται στον αποδέκτη innerHTML
εμφανίζεται στο παρακάτω παράδειγμα.
Στην προηγούμενη εικόνα είναι δυνατό να δείτε ότι η σάρωση DOM clobbering μπορεί να ενεργοποιηθεί. Μόλις γίνει αυτό, το DOM Invader θα αρχίσει να αναζητά ευπάθειες DOM clobbering.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)