Truffle Security 重新发布 XSS Hunter 工具，新增多项功能

Ben Dickson
2023年2月2日 15:08 UTC
更新：2023年2月17日 14:30 UTC

标签： 黑客工具, XSS, 行业新闻

流行的黑客辅助工具 XSS Hunter 在宣布终止支持后，现由 Truffle Security 重新发布，新增了 CORS 错误配置检测功能。XSS Hunter 现在由 Truffle Security 托管，该团队在原始创建者宣布将于 2 月弃用该工具后，推出了新版本。

XSS Hunter 是一款流行的开源工具，用于识别网站中的跨站脚本（XSS）漏洞。新版本托管在 Truffle Security 的域名下，是原始代码的开源分支，具有新功能和增强的安全性。用户还可以迁移到其他可用的分支。

XSS Hunter 的原始架构师“Mandatory”（又名 Matthew Bryant）将 XSS Hunter 描述为他长期热衷的项目，并表示他将“更尽职地维护 xsshunter-express 代码库，以支持那些希望自托管实例的用户”。

隐私问题

XSS 是一种非常常见的漏洞，例如，占提交给漏洞赏金平台 HackerOne 的漏洞报告的 23%。

“除了手动测试之外，寻找 XSS 最流行的工具是 XSS Hunter，”Truffle Security 的联合创始人 Dylan Ayrey 告诉 The Daily Swig。“它对社区来说是一个极其有价值的工具，但也存在风险。”

许多 XSS Hunter 用户会意外将敏感数据发送到平台，可能导致数据泄露。Ayrey 之前在使用旧版 XSS Hunter 时偶然发现了 50,000 条 Google 用户记录，这成为他在 Black Hat 2022 上演讲的主题。

“只要 Mandatory 负责该服务，我就不担心平台可能会如何处理收集的数据，”Ayrey 说。“但在宣布终止支持（EOL）后，我们担心可能会有其他工具取代它，而操作者可能对收集的数据有不同的意图。”

新的 XSS Hunter 工具对平台捕获的截图进行模糊处理，以保护 XSS 负载呈现的敏感信息。它还移除了对完整 DOM 捕获的支持，并强制使用 Google SSO 登录以提高账户安全性。

关于旧服务的弃用，Mandatory 告诉 The Daily Swig，他越来越“对服务中存储的漏洞信息量感到不安”。“理想情况下，我希望为 XSS Hunter 用户存储零漏洞信息，这次弃用将实现这一目标，”他说。

Mandatory 将 Truffle Security 的分支描述为“朝着正确方向迈出的一步”，并表示：“我认为 Truffle Security 从一开始就注重平衡隐私和漏洞赏金研究利益，这是一个好迹象。”

新功能

Truffle Security 增加了对其他类型漏洞检测的支持，包括跨源资源共享（CORS）错误配置，这些配置可能允许外部站点查看和提取内部域的数据。CORS 漏洞可能特别具有破坏性，Truffle Security 最近在调查不同的企业内部网络时发现了这一点。

Truffle Security 将其 TruffleHog 工具的轻量版本集成到新的 XSS Hunter 中，使其能够扫描 HTML 页面中的秘密，如 AWS、GCP 和 Slack 密钥。它还将扫描测试网站中通过 .git 目录泄露的源代码。

“我们看到了一个机会，既可以解决隐私问题，又可以为网络安全社区提供 XSS Hunter 工具的新功能，”Ayrey 说。

Ayrey 表示 Mandatory 支持这一努力，并在过程中提供了帮助。Truffle Security 计划在未来为 XSS Hunter 添加更多功能，包括更完整版本的 TruffleHog。

“当我最初构建该服务时，许多人并不真正相信盲 XSS 是一个‘真正’的问题，”他说。“今天，我认为没有人怀疑这些漏洞的普遍性和严重性，因此它基本上实现了它的目标。”