Invasor DOM

Invasor DOM es una herramienta del navegador instalada en el navegador integrado de Burp. Ayuda en detectar vulnerabilidades de XSS en el DOM utilizando diversas fuentes y sumideros, incluyendo mensajes web y contaminación de prototipos. La herramienta está preinstalada como una extensión.

Invasor DOM integra una pestaña dentro del panel de DevTools del navegador que permite lo siguiente:

1. Identificación de sumideros controlables en una página web para pruebas de XSS en el DOM, proporcionando contexto y detalles de sanitización.

2. Registro, edición y reenvío de mensajes web enviados a través del método postMessage() para pruebas de XSS en el DOM. Invasor DOM también puede detectar automáticamente vulnerabilidades utilizando mensajes web especialmente diseñados.

3. Detección de fuentes de contaminación de prototipos del lado del cliente y escaneo de dispositivos controlables enviados a sumideros riesgosos.

4. Identificación de vulnerabilidades de clobbering del DOM.

Habilitarlo

En el navegador integrado de Burp, ve a la extensión de Burp y habilítalo:

Ahora actualiza la página y en las Dev Tools encontrarás la pestaña Invasor DOM:

Inyectar un Canario

En la imagen anterior puedes ver un grupo aleatorio de caracteres, que es el Canario. Ahora debes comenzar a inyectarlo en diferentes partes de la web (parámetros, formularios, URL...) y hacer clic en buscar cada vez. Invasor DOM verificará si el canario terminó en algún sumidero interesante que podría ser explotado.

Además, las opciones Inyectar parámetros de URL e Inyectar formularios abrirán automáticamente una nueva pestaña inyectando el canario en cada parámetro de URL y formulario que encuentre.

Inyectar un Canario vacío

Si solo deseas encontrar sumideros potenciales que la página pueda tener, incluso si no son explotables, puedes buscar un canario vacío.

Mensajes Post

Invasor DOM permite probar XSS en el DOM utilizando mensajes web con funciones como:

1. Registro de mensajes web enviados a través de postMessage(), similar al registro de historial de solicitudes/respuestas HTTP de Burp Proxy.

2. Modificación y reenvío de mensajes web para probar manualmente XSS en el DOM, similar a la función de Burp Repeater.

3. Alteración automática y envío de mensajes web para sondear XSS en el DOM.

Detalles del mensaje

Se puede ver información detallada sobre cada mensaje haciendo clic en él, lo que incluye si el JavaScript del lado del cliente accede a las propiedades origin, data o source del mensaje.

• origin : Si la información de origen del mensaje no se verifica, es posible enviar mensajes entre dominios al manejador de eventos desde un dominio externo arbitrario. Pero si se verifica, aún podría ser inseguro.

• data: Aquí es donde se envía la carga útil. Si estos datos no se utilizan, el sumidero es inútil.

• source: Evalúa si la propiedad de origen, que generalmente hace referencia a un iframe, está validada en lugar del origen. Incluso si esto se verifica, no asegura que la validación no pueda ser eludida.

Responder a un mensaje

1. Desde la vista de Mensajes, haz clic en cualquier mensaje para abrir el cuadro de diálogo de detalles del mensaje.

2. Edita el campo Data según sea necesario.

3. Haz clic en Enviar.

Contaminación de Prototipos

Invasor DOM también puede buscar vulnerabilidades de contaminación de prototipos. Primero, necesitas habilitarlo:

Luego, buscará fuentes que te permitan agregar propiedades arbitrarias al Object.prototype.

Si se encuentra algo, aparecerá un botón de Prueba para probar la fuente encontrada. Haz clic en él, se abrirá una nueva pestaña, crea un objeto en la consola y verifica si la testproperty existe:

let b = {}
b.testproperty

Una vez que encuentres una fuente, puedes escanear en busca de un gadget:

1. DOM Invader abre una nueva pestaña cuando se hace clic en el botón Escanear en busca de gadgets, que se encuentra junto a cualquier fuente de contaminación de prototipos identificada en la vista DOM. Entonces comienza el escaneo en busca de gadgets adecuados.

2. Mientras tanto, en la misma pestaña, la pestaña DOM Invader debe abrirse en el panel de DevTools. Después de que el escaneo se complete, cualquier sumidero accesible a través de los gadgets identificados se muestra en la vista DOM. Por ejemplo, se muestra en el ejemplo a continuación una propiedad de gadget llamada html que se pasa al sumidero innerHTML.

Sustitución de DOM

En la imagen anterior es posible ver que se puede activar el escaneo de sustitución de DOM. Una vez hecho, DOM Invader comenzará a buscar vulnerabilidades de sustitución de DOM.

Referencias

• https://portswigger.net/burp/documentation/desktop/tools/dom-invader

• https://portswigger.net/burp/documentation/desktop/tools/dom-invader/enabling

• https://portswigger.net/burp/documentation/desktop/tools/dom-invader/dom-xss

• https://portswigger.net/burp/documentation/desktop/tools/dom-invader/web-messages

• https://portswigger.net/burp/documentation/desktop/tools/dom-invader/prototype-pollution

• https://portswigger.net/burp/documentation/desktop/tools/dom-invader/dom-clobbering