Truffle Security relança ferramenta XSS Hunter com novos recursos

O XSS Hunter é uma ferramenta popular de código aberto para identificar bugs de script entre sites (XSS) em sites. Uma versão online foi anteriormente mantida por seu criador Mandatory (Matthew Bryant).

A nova versão, hospedada no domínio da Truffle Security, é uma bifurcação de código aberto do código original com novos recursos e segurança aprimorada.

Preocupações com a privacidade

XSS é uma vulnerabilidade muito comum, respondendo por 23% dos relatórios de bugs enviados à plataforma de recompensas de bugs HackerOne, por exemplo.

“A ferramenta mais popular para procurar XSS , além do teste manual, é o XSSHunter”, disse Dylan Ayrey, cofundador da Truffle Security, ao The Daily Swig . “É uma ferramenta extremamente valiosa para a comunidade, mas também tinha riscos.”

Muitos usuários do XSS Hunter enviariam acidentalmente dados confidenciais para a plataforma e possivelmente causariam vazamento de dados. Ayrey já havia tropeçado em 50.000 registros de usuários do Google enquanto trabalhava com o antigo XSS Hunter, que se tornou o tema de uma palestra que ele deu no Black Hat 2022.

“Enquanto a Mandatory estava no comando do serviço, não me preocupei com o que a plataforma poderia fazer com os dados coletados”, disse Ayrey.

“Mas ficamos preocupados depois que o EOL [fim da vida útil] foi anunciado, outra ferramenta pode ter surgido para substituí-lo por operadoras que podem ter tido intenções diferentes com os dados coletados.”

VEJA TAMBÉM: Feds Smack Banner Health com multa de $1,25 milhão por violação

A nova ferramenta XSS Hunter desfoca as capturas de tela capturadas pela plataforma para proteger informações confidenciais renderizadas pela carga XSS. Ele também removeu o suporte para captura completa de DOM e reforça o login do Google SSO para melhorar a segurança da conta.

Com relação à descontinuação do antigo serviço, Mandatory disse ao The Daily Swig que ficou “cada vez mais desconfortável com a quantidade de informações de vulnerabilidade armazenadas no serviço.

“Idealmente, eu gostaria de armazenar informações de vulnerabilidade zero para usuários caçadores de XSS, o que essa descontinuação alcançará”, disse ele.

Mandatory descreveu o fork da Truffle Security como “um passo na direção certa” e disse: “Acho que o fato de a Truffle Security estar começando com o objetivo de equilibrar a privacidade e os interesses de pesquisa de recompensas de bugs é um bom sinal”.

Novas características

A Truffle Security adicionou suporte para detectar outros tipos de vulnerabilidades , incluindo configurações incorretas de compartilhamento de recursos de origem cruzada ( CORS ) que permitiriam que sites externos visualizassem e extraíssem dados de domínios internos. As vulnerabilidades do CORS podem ser especialmente prejudiciais, como a Truffle Security descobriu recentemente ao investigar diferentes redes corporativas internas.

A Truffle Security integrou a versão lite de sua ferramenta TruffleHog no novo XSSHunter, permitindo a varredura de páginas HTML em busca de segredos, como chaves AWS, GCP e Slack. Ele também verificará sites testados em busca de vazamentos de código-fonte por meio de diretórios .git.

“Vimos uma oportunidade tanto para abordar questões de privacidade quanto para fornecer à comunidade de segurança cibernética novos recursos na ferramenta XSS Hunter”, disse Ayrey.

Ayrey disse que a Mandatory apoiou o esforço e ajudou no processo. A Truffle Security planeja adicionar mais recursos ao XSS Hunter no futuro, incluindo a adição de uma versão mais completa do TruffleHog.

Mandatory, que descreveu o XSS Hunter como seu projeto de paixão de longa data, continuará a manter o repositório xsshunter-express de código aberto “com mais zelo no futuro para apoiar aqueles que desejam auto-hospedar sua própria instância”.

“Quando criei o serviço pela primeira vez, muitas pessoas não acreditavam que o XSS cego fosse uma preocupação ‘real’”, disse ele. “Hoje, acho que ninguém duvida da abrangência e gravidade dessas vulnerabilidades, então ele praticamente alcançou o que deveria fazer.”