我和JS文件不得不说的故事
JS里能找到啥?
作为一个安全从业人员,我们最关心的就是Js文件中的这些东西:
- 会增加攻击面的信息(URL,域名等)
- 敏感信息(密码,API密钥,bucket等)
- 代码中的潜在危险函数操作(eval,dangerallySetInnerHTML等)
- 具有已知漏洞的组件(过时的框架等)
怎么去找?
- 识别并收集应用程序中的JavaScript文件
- 使收集的JavaScript代码可读(取消最小化/反混淆)
- 识别可能导致安全问题的信息(找敏感词)
收集整理js文件
如果你是使用Burp Suite来进行测试,就可以通过多种方式来收集应用程序中的所有JavaScript文件。这也是俺比较喜欢的一种方式
挂着burp,然后浏览应用程序。浏览结束后,burp会被动或主动记录下所有经过burp的请求,其中就包括你请求的js文件,然后咱们就可以使用burp提取出js文件?
如果你使用的是Burp Suite社区版,则可以导航到 Proxy > HTTP history,并使用显示过滤器仅显示该应用程序使用的JavaScript文件。您还可以复制所有显示的JavaScript文件的URL。
如果使用的是Burp Suite专业版,不仅可以复制应用程序中所有JavaScript文件的url,还可以导出所有js文件内容。在Target > sitemap下,右键点击感兴趣的站点,选择Engagement tools>Find scripts。使用此特性,你可以导出该应用程序中的所有脚本内容。
还有一种利用【互联网归档数据库】快速查找Js文件的方法,如Wayback Machine,这种技术是完全被动的,因为我们不向目标应用服务器发送任何请求。
Wayback Machine可以理解为一个互联网的历史记录数据库,你可以在里面找到某个网站所有的链接
它的地址是(可能需要爬墙):https://archive.org/web/
在诸如Wayback Machine之类的Internet档案库中进行挖掘对于识别应用程序中的JavaScript文件非常有用。有时,能够找到服务器上未删除的较旧的JavaScript文件
waybackurls是一个使用Wayback Machine搜索某个站点JavaScript文件(或者任何其他url)的工具,大家可以瞅瞅
使用Wayback Machine可能会导致误报,所以,在收集了JavaScript文件的url列表之后,我们需要检查这个js文件是否真的还存在,可以使用curl快速检查服务器上的JavaScript文件的状态
命令如下(感觉老外特别喜欢玩这些花里胡哨的命令):
cat js_files_url_list.txt | parallel -j50 -q curl -w 'Status:%{http_code}\t Size:%{size_download}\t %{url_effective}\n' -o /dev/null -sk
如果你觉得上面的方法太麻烦了,也可以使用其它现成的工具,例如:hakcheckurl
- 安装:
go get github.com/hakluke/hakcheckurl - 使用:
cat lyftgalactic-js-urls.txt | hakcheckurl
Js文件美化
大多数时候,我们收集的JavaScript文件都是经过压缩、混淆的。
有很多工具可以压缩JavaScript。UglifyJS是一个压缩JS代码的工具,它也可以作为npm包使用
有很多工具可以解压缩js。例如JS Beautifier,这个工具很强大,我们可以在各个语言中使用它,例如node.js、python等
当我们在反混淆时,特别是在逆向恶意程序时,没有一种技术或工具是一劳永逸的。我们将不得不尝试各种工具、去混淆方案。当然,目前已经有很多工具可以帮助咱们去混淆Js代码,例如:
- JStillery:
https://github.com/mindedsecurity/JStillery - JSDetox: ``
- JS-Beautifier
- IlluminateJs
- JSNice
寻找敏感信息
接口
js文件中有很多接口,这些接口可以扩展我们的攻击面,例如,我在水滴src中某个页面下发现的js文件:
虽然经过测试这些接口貌似都没有未授权访问问题,但是,只要肯挖,说不定下一次就是一个高危敏感信息泄露呢?
当然,也有一些很方便的工具帮助我们从js文件中提取这些接口:
relative-url-extractor:这个工具既可以直接从线上js文件中提取接口,也可以从本地文件中提取,并且,它还可以从压缩的js代码中提取,直接省去了咱们前面说的美化js的步骤
LinkFinder:这个工具也相当nice,应该很多人都知道,使用也很简单:
python linkfinder.py -i https://example.com -d -o cli
当然,还有国内一位安全研究员写的JSFinder,也是很好用的
密码、密钥等
找这些敏感信息也还是靠正则,当然还有一种技术叫entropy,俺也不知道这个怎么翻译才好,应该就是根据一串字符串的随机性来判断这个字符串是否是密钥,我们都知道,密钥都是一串字符嘛,同样的,有工具?,安心做个脚本小子吧:
- DumpsterDiver
- Repo-supervisor
- truffleHog
除此之外,还可以用grep/sed/awk等工具来搜索敏感词
我都说了,shell玩得好,老婆随便找
危险函数、操作
下面的内容逐渐超出我漏洞挖掘的耐心范围,非战斗人员请撤离❗️❗️❗️
JS中的一些函数使用可能带来潜在的问题,例如innerHTML的使用就可能带来dom xss问题
而现在前端框架琳琅满目,我一个都不会,md
他们用的方法名字那叫一个长呀,React中就有一个和innerHTML差不多的函数叫做dangerouslytSetInnerHTML,这个函数也是咱们的重点关注对象
然后还有Angular中的bypassSecurityTrustX,还有咱们熟悉的eval函数
除此之外,还有postMessage函数值得关注,这个函数相关的问题都可以专门开一篇文章讲了,这里就不多说了,下次一定,下次也不一定...
localStorage和sessionStorage是HTML Web存储对象
通过web storage,web应用程序可以在用户的浏览器中本地存储数据
识别使用Web Storage存储的内容非常重要,尤其是可能导致潜在安全问题的内容
在JavaScript中,我们可以可以查找window.localStorage以及window.sessionStorage。这里俺也不太了解,留待大家去探索吧?
寻找js中的危险函数、危险代码高度依赖目标所使用的的前端技术栈,不说了,先去学webpack了
哦,对了,我们还可以使用工具呀?
- JSPrime:是一种静态代码分析工具,用于查找JavaScript代码中的安全性问题,但是该项目已经有一段时间没有更新了。
- ESLint:是最流行的JavaScript工具之一,通过添加自定义规则,对它进行自定义。ESLint提供了许多自定义安全规则,尤其是针对现代框架(如Angular,React等)。
存在漏洞的框架
老生常谈的问题,寻找一些老旧的存在问题的前端框架,不过,我觉得这个基本没啥用,为了文章完整性还是列出来吧
如果目标程序使用了一些存在漏洞的前端框架,那对我们来说也是一点曙光不是?
关于这个的挖掘,直接上工具吧——Retire.js
Retire.js是一个可以识别应用程序使用的老旧JavaScript框架的工具
该工具可以用作独立工具,浏览器扩展,grunt插件或Burp / ZAP扩展。当然,这个工具也还是有很多误报的,不过作为参考还是不错的嘛
