[chrome扩展] XssSniper

  • A+
所属分类:WooYun-Zone

[chrome扩展] XssSniper

作者:爱梅小礼

XssSniper 扩展介绍

一直以来,隐式输出的DomXSS漏洞难以被传统的扫描工具发现,而XssSniper是依托于Chrome浏览器的扩展,通过动态解析可以快速准确的发现DomXSS漏洞。

此外,本扩展不仅可以发现隐式输出的XSS,还可以发现显示输出的DomXSS,反射式XSS,自动寻找JSONP的XSS,以及检测SOME漏洞(同源方法执行)。

原理

XSS检测原理

本扩展采用了两种方法去检测DOMXSS。

第一种方法:FUZZ

这种检测方法误报率非常低,只要是检测出来的一定都是都是存在漏洞的。但是代价是漏报率也比较高。 具体来说是在当前页面中创建一个隐形的iframe,在这个iframe中采用不同字符组合截断的payload去fuzz当前页面中的每个url参数,以及location.hash参数。如果payload执行,说明漏洞一定存在。

第二种方法:监控js错误变化

如果xss存在方式比较隐蔽,或者需要非常复杂的字符组合来截断的话,payload是无法正常执行的,然而尽管如此,payload可能会引发一些js语法异常,扩展只需要检测这些异常就可以。然后提示用户错误位置,错误内容,错误的行数,让用户手工去 因此以这种方式检测XSS,漏报少,但是代价是误报较高。

两种检测方式相互结合,取长补短。

使用方法

打开控制面板

[chrome扩展] XssSniper

第一次使用的时候请手工更新一下策略,将测试目标填入列表中。tester并非是主动检测这些列表域名中的漏洞。而是在你浏览这些网站时,检测当前页面中的XSS漏洞。 所以,开启fuzz后,只需要正常浏览这些网站即可。

第一种报警方式:payload直接执行

如果在浏览过程中发现弹出了对话框,显示一个带有xss payload的url,如下图,说明该url可以触发XSS漏洞。

[chrome扩展] XssSniper

按下F12打开console控制台,测试过的URL都会在里面显示。将刚刚对话框中显示的url+payload复制出来即可。

[chrome扩展] XssSniper

第二种报警方式:payload使js抛出异常

如果在浏览页面时候右下角弹出如下告警,说明payload使js抛出了不同的异常。

[chrome扩展] XssSniper

此时打开F12打开控制台,依照图示找到异常内容和触发异常的payload,另外还可以找到抛出异常的文件和行号,方便调试。

[chrome扩展] XssSniper

第三种告警:JSONP反射式XSS

若发现如下告警,说明页面中使用的jsonp存在xss漏洞。url已经在提示中给出。

[chrome扩展] XssSniper

第四种告警:SOME漏洞

当扩展发现当前页面中的参数在jsonp也出现时,就会给出以下告警,需要测试者手工确认页面参数能否影响jsonp的返回参数。

[chrome扩展] XssSniper

Chrome应用商店下载地址

原文介绍

  1. 1#

    sin | 2015-09-06 19:16

    66666

  2. 2#

    LaTCue (善养人妻。) | 2015-09-06 19:22

    求火狐版 谢谢

  3. 3#

    梧桐雨 | 2015-09-06 19:23

    小礼大神的作品,顶一个。

  4. 4#

    数据流 | 2015-09-06 19:39

    赞!

  5. 5#

    海盗湾V | 2015-09-06 20:05

    赞!

  6. 6#

    hzh4k | 2015-09-06 20:35

    – -我为啥无法保存 payload

  7. 7#

    Fate (NIXI Team 欢迎志同道合的朋友交流.) | 2015-09-06 20:36

  8. 8#

    进击的zjx | 2015-09-06 20:37

    为啥没有初始payload。。。

  9. 9#
    感谢(2)

    背影 | 2015-09-06 20:55

    各位的pyload可以正常保存?

  10. 10#

    爱梅小礼 | 2015-09-06 21:38

    @进击的zjx 刚才更新服务器出现了点问题,现在你手工更新以下策略

  11. 11#

    Jumbo (www.chinabaiker.com) | 2015-09-06 22:05

    第一次使用的时候请手工更新一下策略,将测试目标填入列表中。tester并非是主动检测这些列表域名中的漏洞。而是在你浏览这些网站时,检测当前页面中的XSS漏洞。 所以,开启fuzz后,只需要正常浏览这些网站即可。那还要测试目标干啥?

  12. 12#

    爱梅小礼 | 2015-09-06 22:05

    @背影 这是一个小bug。其实你返回之后就可以保存了。现在更新一下扩展,这个bug已经解决了

  13. 13#

    小威 | 2015-09-06 22:19

    王哥叼炸天了

  14. 14#

    DloveJ | 2015-09-06 22:26

    屌屌的

  15. 15#
    感谢(3)

    背影 | 2015-09-06 23:31

    @爱梅小礼 嗯嗯 现在好啦

  16. 16#
    感谢(2)

    背影 | 2015-09-06 23:43

    @爱梅小礼 能不能把你的初始payload也发出来啊

  17. 17#

    /fd (Http://prompt.ml) | 2015-09-06 23:58

    有參考DOMinator嗎

  18. 18#

    hzh4k | 2015-09-07 09:20

    建议 不要弹框了好烦啊- -应该有个存记录的地方。对于我这种强迫症状 每一个payload都弹一个DOM异常 都想卸载了- –

  19. 19#

    风情万种 (很有味道…) | 2015-09-07 09:53

    @背影 可否发个crx文件给我?

  20. 20#

    HackBraid | 2015-09-07 10:12

    @爱梅小礼 chrome不是有xss过滤吗?尤其是反射型的基本不会触发吧。你确定的这些payload就可以?

  21. 21#

    残废 (“/><img src=x>) | 2015-09-07 10:22

    66666666666666

  22. 22#

    (慢慢的我,习惯了这种生活.) | 2015-09-07 10:24

    好东西

  23. 23#

    p4ssw0rd (.Y.) | 2015-09-07 10:33

    *.*.*
    *.*.*.*

  24. 24#

    南哥 (<///////////////////////>) | 2015-09-07 10:42

    mark

  25. 25#

    爱梅小礼 | 2015-09-07 10:44

    @HackBraid XSS过滤器已经被本扩展禁用了~~

  26. 26#

    mramydnei (一个逗逼运维) | 2015-09-07 11:06

    @爱梅小礼  也就是说装上这个扩展后,就会更易受到reflect xss 攻击?

  27. 27#

    vc1 | 2015-09-07 11:15

    @mramydnei 对…

  28. 28#

    debug | 2015-09-07 11:42

    @mramydnei 不知道他怎么样做的~ 是直接禁用了。 还是针对扫描指定网址的时候才禁用。

  29. 29#

    泳少 (此号被射!by U神) | 2015-09-07 11:57

    设计缺陷,误报多,开启后占内存大

  30. 30#

    毛猴 | 2015-09-07 11:58

    @爱梅小礼 师傅 是我啊 哈哈

  31. 31#

    Devi1o | 2015-09-07 16:13

    建议支持firefox版的!另外去掉目标列表功能,而是应该在开启Fuzz之后,已经更新payload的前提下。当访问任意网站任意页面,存在漏洞的话 自动弹窗或者自动保存在某个目录的文件里面。这样可能会早更好。

  32. 32#

    uncia (‮) | 2015-09-07 22:00

    https://chrome.google.com/webstore/detail/xss-console/oadhehflgfaijmaaljibcaoljndjjidn

    貌似轮子。

  33. 33#

    昵称 (</textarea>’”><script src) | 2015-09-11 17:04

    bin哥发好东东了

  34. 34#

    Gnest (ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎ฏ๎) | 2015-09-12 18:25

    66666

  35. 35#

    咖啡 (SELECT) | 2015-09-12 22:30

  36. 36#

    Me_Fortune (汪汪汪) | 2015-10-16 15:22

    @咖啡 膜拜表哥