Veröffentlichung der Burp Extension DetectDynamicJS

Veröffentlichung der Burp Extension DetectDynamicJS

Veit Hailperin
von Veit Hailperin
Lesezeit: 4 Minuten

Heute veröffentlicht scip AG eine neue, von Veit Hailperin geschriebene, Extension für die Standard-Webtestsoftware Burp Suite. Die Extension mit dem Namen DetectDynamicJS vergleicht JavaScript-Dateien, um festzustellen, ob diese dynamisch generiert wurden. Gründe für dynamischen JavaScript-Inhalt gibt es viele. Manchmal kommt es allerdings vor, dass nicht nur der Code dynamisch generiert wird, sondern auch Daten mit sensitivem Inhalt, wie Benutzernamen oder Sitzunginformation, ihren Weg in die Datei finden. Sebastian Lekies, Ben Stock, Martin Wentzel und Martin Johns beschreiben die Gefahren die dadurch entstehen in ihrem Paper The Unexpected Dangers of Dynamic JavaScript. Die Extension soll die Suche nach diesen Verwundbarkeiten erleichtern, da es für die ersten beiden Schritte, welche sie für die Erkennung definieren, bisher keinen öffentlich Code gab. Die Extension unterliegt der GNU Public Licence and und ist frei zugänglich.

Verwendung der Extension

Die Extension kann im Extender-Tab geladen werden. Ausgelöst wird die Extension durch das passive Scannen von JavaScript-Dateien. Damit die Ergebnisse Sinn ergeben, muss sich ein Benutzer authentisieren und möglichst viele der existierenden JavaScript-Dateien identifizieren. Dazu kann unterstützend auch der Burp Spider verwendet werden. Anschliessend sollten alle gefundenen JavaScript-Dateien erneut aufgerufen werden, diesmal allerdings unauthentisiert. Nach dem Scan werden, je nachdem ob Abweichungen identifiziert wurden, neue Issues im Target-Tab angelegt.

Screenshot der Extension

In den Response-Tabs werden die Unterschiede zwischen den Dateien dargestellt.

Der Unterschied ist farbig markiert

Wer nach Verwundbarkeiten mit dieser Extension sucht, sollte nicht davor zurückschrecken, auch Dateien mit der gleichen Grösse zu scannen. Der Unterschied könnte die gleiche Länge haben.

Nach erfolgreicher Identifizierung von Abweichungen und Ausschluss von False Positives (z.B. Werbebanner) muss der eigentliche Test anschliessend manuell zu Ende geführt werden.

Update 12.01.2016, 9.15 Uhr

Die Extension ist im offiziellen BApp Store erhältlich.

Über den Autor

Veit Hailperin

Veit Hailperin arbeitet seit 2010 im Bereich der Informationssicherheit. Seine Forschung konzentriert sich auf Network und Application Layer Security sowie auf den Schutz der Privatsphäre. Die Resultate präsentiert er an Konferenzen.

Links

Werden auch Ihre Daten im Darknet gehandelt?

Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!

×
Konkrete Kritik an CVSSv4

Konkrete Kritik an CVSSv4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

iOS Mobile Application Testing

iOS Mobile Application Testing

Ian Boschung

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv