Veröffentlichung der Burp Extension DetectDynamicJS

Veröffentlichung der Burp Extension DetectDynamicJS

Veit Hailperin
von Veit Hailperin
Lesezeit: 4 Minuten

Heute veröffentlicht scip AG eine neue, von Veit Hailperin geschriebene, Extension für die Standard-Webtestsoftware Burp Suite. Die Extension mit dem Namen DetectDynamicJS vergleicht JavaScript-Dateien, um festzustellen, ob diese dynamisch generiert wurden. Gründe für dynamischen JavaScript-Inhalt gibt es viele. Manchmal kommt es allerdings vor, dass nicht nur der Code dynamisch generiert wird, sondern auch Daten mit sensitivem Inhalt, wie Benutzernamen oder Sitzunginformation, ihren Weg in die Datei finden. Sebastian Lekies, Ben Stock, Martin Wentzel und Martin Johns beschreiben die Gefahren die dadurch entstehen in ihrem Paper The Unexpected Dangers of Dynamic JavaScript. Die Extension soll die Suche nach diesen Verwundbarkeiten erleichtern, da es für die ersten beiden Schritte, welche sie für die Erkennung definieren, bisher keinen öffentlich Code gab. Die Extension unterliegt der GNU Public Licence and und ist frei zugänglich.

Verwendung der Extension

Die Extension kann im Extender-Tab geladen werden. Ausgelöst wird die Extension durch das passive Scannen von JavaScript-Dateien. Damit die Ergebnisse Sinn ergeben, muss sich ein Benutzer authentisieren und möglichst viele der existierenden JavaScript-Dateien identifizieren. Dazu kann unterstützend auch der Burp Spider verwendet werden. Anschliessend sollten alle gefundenen JavaScript-Dateien erneut aufgerufen werden, diesmal allerdings unauthentisiert. Nach dem Scan werden, je nachdem ob Abweichungen identifiziert wurden, neue Issues im Target-Tab angelegt.

Screenshot der Extension

In den Response-Tabs werden die Unterschiede zwischen den Dateien dargestellt.

Der Unterschied ist farbig markiert

Wer nach Verwundbarkeiten mit dieser Extension sucht, sollte nicht davor zurückschrecken, auch Dateien mit der gleichen Grösse zu scannen. Der Unterschied könnte die gleiche Länge haben.

Nach erfolgreicher Identifizierung von Abweichungen und Ausschluss von False Positives (z.B. Werbebanner) muss der eigentliche Test anschliessend manuell zu Ende geführt werden.

Update 12.01.2016, 9.15 Uhr

Die Extension ist im offiziellen BApp Store erhältlich.

Über den Autor

Veit Hailperin

Veit Hailperin arbeitet seit 2010 im Bereich der Informationssicherheit. Seine Forschung konzentriert sich auf Network und Application Layer Security sowie auf den Schutz der Privatsphäre. Die Resultate präsentiert er an Konferenzen.

Links

Sie wollen mehr als einen simplen Security Test mit Nessus und Nmap?

Unsere Spezialisten kontaktieren Sie gern!

×
Crypto-Malware

Crypto-Malware

Ahmet Hrnjadovic

TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv