Truffle Security 重装发布 XSS Hunter 工具并新增多项功能

Ben Dickson

2023年2月2日 15:08 UTC
更新： 2023年2月17日 14:30 UTC

标签： 黑客工具, XSS, 行业新闻

流行黑客辅助工具 XSS Hunter 在宣布终止服务后，现已由 Truffle Security 重新发布，新增 CORS 错误配置检测功能。

XSS Hunter 如今在 Truffle Security 安家，原开发者宣布将于二月份弃用该工具后，Truffle Security 推出了新版本。

XSS Hunter 是一款流行的开源工具，用于识别网站中的跨站脚本（XSS）漏洞。新版本托管在 Truffle Security 的域名下，是基于原代码的开源分支，具备新功能和增强的安全性。用户也可迁移至其他可用分支。

XSS Hunter 的原架构师 ‘Mandatory’（又名 Matthew Bryant）将 XSS Hunter 描述为他长期的热情项目，并表示他将“更尽职地维护 xsshunter-express 代码库，以支持希望自托管实例的用户”。

隐私问题

XSS 是一种非常常见的漏洞，例如，占提交给漏洞赏金平台 HackerOne 的漏洞报告的 23%。

“除了手动测试之外，寻找 XSS 最流行的工具是 XSS Hunter，” Truffle Security 联合创始人 Dylan Ayrey 告诉 The Daily Swig。“它对社区来说是一个极其有价值的工具，但也存在风险。”

许多 XSS Hunter 用户会意外将敏感数据发送到平台，可能导致数据泄漏。Ayrey 之前在使用旧版 XSS Hunter 时偶然发现了 50,000 条 Google 用户记录，这成为他在 Black Hat 2022 演讲的主题。

“只要 Mandatory 负责该服务，我就不担心平台可能会如何处理收集的数据，” Ayrey 说。“但在宣布终止服务（EOL）后，我们担心可能会有其他工具取代它，而操作者可能对收集的数据有不同的意图。”

新的 XSS Hunter 工具对平台捕获的截图进行模糊处理，以保护 XSS 载荷渲染的敏感信息。它还移除了对完整 DOM 捕获的支持，并强制使用 Google 单点登录（SSO）以提高账户安全性。

关于旧服务的弃用，Mandatory 告诉 The Daily Swig，他变得“越来越不舒服服务中存储的漏洞信息量”。“理想情况下，我希望为 XSS Hunter 用户存储零漏洞信息，这次弃用将实现这一目标，”他说。

Mandatory 将 Truffle Security 的分支描述为“朝着正确方向迈出的一步”，并表示：“我认为 Truffle Security 从一开始就着眼于平衡隐私和漏洞赏金研究利益，这是一个好迹象。”

Truffle Security 增加了检测其他类型漏洞的支持，包括跨源资源共享（CORS）错误配置，这些配置可能允许外部站点查看和提取内部域的数据。CORS 漏洞可能尤其具有破坏性，Truffle Security 最近在调查不同的企业内部网络时发现了这一点。

Truffle Security 将其 TruffleHog 工具的轻量版集成到新的 XSS Hunter 中，使其能够扫描 HTML 页面中的秘密信息，如 AWS、GCP 和 Slack 密钥。它还将通过 .git 目录扫描测试网站的源代码泄漏。

“我们看到了一个机会，既可以解决隐私问题，又可以为网络安全社区在 XSS Hunter 工具中提供新功能，” Ayrey 说。

Ayrey 表示 Mandatory 支持这一努力，并在过程中提供了帮助。Truffle Security 计划未来为 XSS Hunter 添加更多功能，包括更完整版本的 TruffleHog。

“当我最初构建该服务时，许多人并不真正相信盲 XSS 是一个‘真正’的问题，”他说。“今天，我认为没有人怀疑这些漏洞的普遍性和严重性，所以它基本上实现了它的初衷。”