今天在Appsec Europe呈现的恶霸督察
今天可以在浏览器对象中揭露其他可以暴露浏览器对象的隐藏漏洞的新工具Appsec欧洲,在伦敦举行。
被称为“安全性的开发工具”,Hackbility Inspector是研究员Gareth Heyes的Brainchild,他们在演出的最后一天就讨论了代表。
适用于Burp Suite Creator Portswigger的Heyes表beplay官网可以赌示,该工具包将与现有的使用h工具,分析连接客户端的Web攻击表面,以检测它支持beplay体育能用吗的技术。
他解释说:“你想要回答的那种问题是:是的同性启用了,是javascript use,是否有iframes或pdfs?你不知道这个渲染引擎的表现,所以你使用这个恶心的工具来找出。
“Haccability Inspector是安全研究人员失踪的攻击性开发工具包。”
虽然Hackability使研究人员能够发现支持的内容 - 例如,IFRame,JavaScript或Flash - Heyes指出,如果站点呈现页面服务器端,则可以具有挑战性地查看这些对象。
嘿嘿嘿嘿每日swbeplay2018官网ig:“Inspector枚举JavaScript中的对象,并允许您发现隐藏的属性。
“If you don’t have browser dev tools because a site is rendering a page in a different browser server-side, then it can be quite challenging to see what objects you have access to, and if the developer adds custom objects that might contain a vulnerability it can be difficult to discover that without the Inspector.”
除此功能外,Hackability Inspector还根据Heyes先前发现的错误自动搜索许多漏洞。
这些缺陷包括一个Safari Cross Domain Bug它允许远程攻击者通过覆盖交叉原点Body元素的inchtml属性的JavaScript来绕过相同原始策略和从其他域访问数据。
Heyes解释说:“这是一个喜欢放大镜和看代码的很多。这是一个很酷的工具,使您能够找到很酷的错误 - 隐士检查器是刚刚在安全性上的缺失工具。
“首先会发现并向您展示有趣的东西,它将自动在每个对象上运行安全测试。”
想要在自己的服务器上托管检查器的用户应该前往GitHub.。督察的公共版本也是可用的。
Heyes得出结论:“在这个工具存在之前,它在开发工具之前很喜欢生活 - 这就像摇滚并将它们撞击到电脑上,试图让它做你想做的事。”
