什么是JS渗透测试?
在JavaScript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞
JS开发的Web应用和PHP,Java,NET等区别在于即没有源代码,可以通过浏览器的查看源代码获取真实的点。获取URL,获取JS敏感信息,获取代码传参等,所以相当于JS开发的Web应用属于白盒测试(默认有源码参考),一般会在JS中寻找更多的URL地址,在分析JS代码逻辑(加密算法,APIKey配置,验证逻辑等)进行后期安全测试。
前提:Web应用可以采用前端或后端语言开发
后端语言:PHP Java Python .NET,浏览器端看不到真实的源代码
前端语言:JavaScript(JS)和JS框架,浏览器端能看到真实的源代码
例子:
Zblog:核心功能采用PHP语言传输接收的,例如登录密码加密
Vue.js:核心功能采用框架语法JS传输接收的,例如登录密码加密,验证码
JS安全问题
未授权访问:JS里面分析更多的URL访问来确定接口路径,从而进入未授权访问
敏感Key泄漏:JS文件中可能配置了接口信息(云应用,短信,邮件,数据库等)
API接口安全:代码中加密提交,参数传递,更多的URL路径
如何从表现中的JS提取价值信息
如何从地址中,Fuzz工具来提取未知的JS文件
如何从JS开放框架WebPack进行测试
流行的JS框架有那些?
Vue.js, Node.js, jQuery, Angular等
如何判定JS开发应用?
浏览器插件Wappalyzer
源程序代码简短
引入多个JS文件
一般有/static/js/app.js等顺序的JS文件
一般cookie中有connect.sid
如何获取更多的JS文件?
手工-浏览器搜索
半自动-Burpsuite插件
工具化-各类提取&Fuzz项目
前端架构-手工搜索分析
打开F12检查,网站代码全局搜索分析,找连接地址和路径
1 | src= |
用来寻找未授权访问的路径
前端架构-半自动Burp分析
插件一:Unexpected_information
用来标记请求包中的一些敏感信息、JS接口和一些特殊字段,防止我们疏忽了一些数据包,使用它可能会有意外的收获信息。
插件二:HaE
基于BurpSuite插件JavaAPI开发的请求高亮标记与信息提取的辅助型插件。该插件可以通过自定义正则的方式匹配响应报文或请求报文,可以自行决定符合该自定义正则匹配的相应请求是否需要高亮标记、信息提取。
前端架构-自动化项目分析
用的最多,功能最差的:JSFinder-从表现中JS中提取URL或者敏感数据
一款用作快速在网站的JS文件中提取URL,子域名的工具,然后挑选测试,看看能不能未授权访问Jsfinder的升级版:URLFinder-从表现中JS中提取URL或者敏感数据
一款用于快速提取检测页面中JS与URL的工具。功能类似于JSFinder,但JSFinder好久没更新了。JSINFO-SCAN-从表现中JS中提取URL或者敏感数据递归爬取域名(netloc/domain),以及递归从JS中获取信息的工具
很好用的浏览器插件:FindSomething
从表现中JS中提取URL或者敏感数据该工具是用于快速在网页的html源码或JS代码中提取一些有趣的信息的浏览器插件,包括请求的资源、接口的URL,请求的IP和域名,泄漏的证件号、手机号、邮箱等信息。Packer-Fuzzer-针对JS框架开发打包器Webpack检测,在浏览器插件杂项里面有webpack就能使用这个工具了,一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具,然后就能生成报告。
总结
知识点:识别,分类,框架
JS前端架构
测试方法:人工(全局搜索关键字,筛选JS文件)
Burp:自带官方插件和第三方插件
工具项目:表现JS中提取信息,爆破更多JS,JS打包器WebPack测试
复现:
githack目标IP失效,svghack目标网站失效,泛新目标网站失效,composer.json网站目标失败