New XSS Hunter host Truffle Security faces privacy backlash

Adam Bannister
2023年2月9日 17:12 UTC
更新：2023年2月22日 15:09 UTC

漏洞 | 开源软件 | 社交媒体

在分享有关发现的漏洞的匿名统计数据后，流行黑客工具XSS Hunter新版本的维护者因检查用户生成的潜在敏感数据而受到批评。

Truffle Security在上周原创建者Matthew Bryant弃用该开源工具后推出了新的分支版本，并于昨日在推特上发布了有争议的声明。
“哇，自上周推出我们的XSSHunter版本以来，已有超过1000份XSS报告，”推文写道。
“其中约20个暴露了.git目录，”它继续补充，“约15个暴露了云凭证，超过100个存在CORS问题！”

这引发了漏洞猎人和安全研究人员在推特上的震惊，包括黑客和渗透测试员Julien Ahrens。
“听起来有人正在仔细查看你的数据…”他发推文说。
“专业提示：自行托管xsshunter-express或ezxss实例，避免将潜在敏感数据泄露给这家公司。”

“匿名统计”

Truffle Security通过删除有问题的推文并承认反弹来回应社交媒体风暴：
“我们发布了一些关于XSSHunter的匿名统计数据（类似于Hackerone的公开匿名报告），社区成员提出了隐私担忧，因此我们将其删除。感谢重新发布，完全有理由让我们负责。”

然而，‘@Th3MadHacker’反驳道：“这与Hackerone不同，Hackerone上的项目同意共享指标。”

针对The Daily Swig的询问，Truffle Security联合创始人Dylan Ayrey重申了公司推特账户的评论，并试图缓解隐私担忧，补充说：“员工的未查看任何人的原始报告。”

与此同时，Colin Winhall敦促漏洞赏金平台“为bXss提供内部解决方案，并分叉自己的XSSHunter版本”。
巴黎的漏洞赏金平台YesWeHack强调了其自托管带外工具PwnMachine的类似解决方案。

漏洞赏金计划通常禁止使用第三方平台托管的黑客工具，因为存在敏感数据泄露的风险，这可能使恶意黑客受益，正如亚马逊VRP现在似乎出现的情况。

隐私动机

XSS Hunter上周作为托管服务推出，此前Bryant（又名‘Mandatory’）宣布不再维护该应用程序。
该服务的新版本托管在位于旧金山的Truffle Security域名上，是原始代码的开源分支。

Bryant仍然是xsshunter-express仓库的维护者，用户可以通过该仓库自行托管自己的实例，并且可以迁移到其他分支。

隐私担忧似乎是推出新XSS Hunter服务和开发新功能（如平台捕获的截图模糊处理）的动机之一。
Truffle Security的Ayrey此前向The Daily Swig谈到重新启动时表示，“许多XSS Hunter用户会意外向平台发送敏感数据”。他还担心，在弃用之后，“可能有另一个工具出现，其操作者可能对收集的数据有不同的意图[与Mandatory相比]。”

“我们看到了解决隐私问题并为网络安全社区提供新功能的机会，”Ayrey补充道。

Bryant告诉The Daily Swig，他变得“越来越不舒服服务中存储的漏洞信息量”，并表示“Truffle Security从一开始就注重平衡隐私和漏洞赏金研究利益”。

本文于2月22日更新，报道了Truffle Security为其XSS Hunter分支引入端到端加密选项的消息。

背景
Truffle Security以新功能重新启动XSS Hunter工具

漏洞 | 开源软件 | 社交媒体 | 漏洞赏金 | 核心