Gefangen im Netz
Michèle Trebo
Heute veröffentlicht scip AG eine neue, von Veit Hailperin geschriebene, Extension für die Standard-Webtestsoftware Burp Suite. Die Extension mit dem Namen DetectDynamicJS vergleicht JavaScript-Dateien, um festzustellen, ob diese dynamisch generiert wurden. Gründe für dynamischen JavaScript-Inhalt gibt es viele. Manchmal kommt es allerdings vor, dass nicht nur der Code dynamisch generiert wird, sondern auch Daten mit sensitivem Inhalt, wie Benutzernamen oder Sitzunginformation, ihren Weg in die Datei finden. Sebastian Lekies, Ben Stock, Martin Wentzel und Martin Johns beschreiben die Gefahren die dadurch entstehen in ihrem Paper The Unexpected Dangers of Dynamic JavaScript. Die Extension soll die Suche nach diesen Verwundbarkeiten erleichtern, da es für die ersten beiden Schritte, welche sie für die Erkennung definieren, bisher keinen öffentlich Code gab. Die Extension unterliegt der GNU Public Licence and und ist frei zugänglich.
Die Extension kann im Extender-Tab geladen werden. Ausgelöst wird die Extension durch das passive Scannen von JavaScript-Dateien. Damit die Ergebnisse Sinn ergeben, muss sich ein Benutzer authentisieren und möglichst viele der existierenden JavaScript-Dateien identifizieren. Dazu kann unterstützend auch der Burp Spider verwendet werden. Anschliessend sollten alle gefundenen JavaScript-Dateien erneut aufgerufen werden, diesmal allerdings unauthentisiert. Nach dem Scan werden, je nachdem ob Abweichungen identifiziert wurden, neue Issues im Target-Tab angelegt.
In den Response-Tabs werden die Unterschiede zwischen den Dateien dargestellt.
Wer nach Verwundbarkeiten mit dieser Extension sucht, sollte nicht davor zurückschrecken, auch Dateien mit der gleichen Grösse zu scannen. Der Unterschied könnte die gleiche Länge haben.
Nach erfolgreicher Identifizierung von Abweichungen und Ausschluss von False Positives (z.B. Werbebanner) muss der eigentliche Test anschliessend manuell zu Ende geführt werden.
Die Extension ist im offiziellen BApp Store erhältlich.
Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Michael Schneider
Unsere Spezialisten kontaktieren Sie gern!