O tracy
Esses vetores de ataque são significativamente diferentes dos casos de XSS tradicionais armazenados e refletidos e exigem novas ferramentas para localizá-los de forma eficaz.
Muitas ferramentas relacionadas apenas procuram a reflexão da resposta do servidor, no entanto, isso não é muito útil se toda a codificação de saída for executada pelo frontend. A fim de realmente obter conhecimento sobre todos os verdadeiros sumidouros da aplicação, precisamos de uma ferramenta que nos conceda "visão de raios X no DOM".
O tracy foi escrito com o objetivo de eliminar o XSS, auxiliando um testador de penetração na identificação de cada fonte de entrada em um aplicativo e seguindo essa entrada para todos os seus sumidouros. Esses casos são documentados e armazenados como referências que podem ser usadas para identificar os locais de entrada potencialmente arriscada.
Afunda vs Fontes
Conforme o tracy se desenvolve, essas listas podem crescer para incluir outros tipos de entradas e saídas. Mas por enquanto, quando dizemos fontes, estamos falando de:
- Campos de formulário
- Parâmetros de consulta
- Poste os parâmetros do corpo
- Valores de cabeçalho
e quando dizemos sumidouros, estamos falando de:
- Respostas do servidor
- DOM escreve
- Exemplos de eval
- Instâncias de setTimeout
- Instâncias de setInterval
Como funciona
Ao navegar por um aplicativo da Web, um usuário sinaliza uma entrada específica que gostaria de rastrear. A extensão marca essa entrada com uma referência e documenta sempre que essa referência é vista em uma resposta do servidor, gravada no DOM ou usada em um dos outros métodos perigosos mencionados acima.
A extensão usa um proxy leve para monitorar as respostas do servidor e o MutationObserver para monitorar as gravações do DOM. Além disso, a extensão procura algumas funções que são consideradas perigosas e verifica se essas funções estão executando argumentos que contêm uma das referências coletadas.
O que não é
- Não é um scanner de aplicativo da web ou uma ferramenta automatizada. Requer interação humana e orientação sobre quais são as fontes de entrada.
- Não é um localizador AI XSS.
- Não é um analisador estático.
Comentários
Postar um comentário