Truffle Security 重磅升级 XSS Hunter 工具，新增 CORS 误配检测与密钥扫描功能

Truffle Security 重新启动 XSS Hunter 工具并新增功能

流行黑客辅助工具 XSS Hunter 在宣布终止服务后，现由 Truffle Security 接手并发布新版本，新增 CORS 错误配置检测功能。

XSS Hunter 是一款广泛使用的开源工具，用于识别网站中的跨站脚本（XSS）漏洞。新版本托管于 Truffle Security 域名下，是基于原始代码的开源分支，具备新功能和增强的安全性。用户也可迁移到其他可用分支。

XSS Hunter 的原始架构师“Mandatory”（又名 Matthew Bryant）称该项目为他长期的兴趣项目，并表示未来将更负责地维护 xsshunter-express 代码库，以支持希望自托管实例的用户。

隐私问题

XSS 是一种非常常见的漏洞，例如在漏洞赏金平台 HackerOne 提交的漏洞报告中占 23%。

Truffle Security 联合创始人 Dylan Ayrey 表示：“除了手动测试外，寻找 XSS 最流行的工具是 XSS Hunter。它对社区极具价值，但也存在风险。”

许多 XSS Hunter 用户曾意外向平台发送敏感数据，可能导致数据泄露。Ayrey 在使用旧版 XSS Hunter 时曾偶然发现 5 万条 Google 用户记录，该事件成为他在 Black Hat 2022 演讲的主题。

Ayrey 说：“只要 Mandatory 负责该服务，我就不担心平台会如何处理收集的数据。但在宣布终止服务（EOL）后，我们担心可能有其他工具取代它，而其运营者可能对数据有不同的意图。”

新版 XSS Hunter 工具对平台捕获的截图进行模糊处理，以保护 XSS 载荷呈现的敏感信息。它还取消了对完整 DOM 捕获的支持，并强制使用 Google 单点登录（SSO）以提高账户安全性。

关于旧服务的弃用，Mandatory 表示他对“服务中存储的漏洞信息量越来越感到不安”，并称“理想情况下，我希望为 XSS Hunter 用户存储零漏洞信息，此次弃用将实现这一目标。”

Mandatory 认为 Truffle Security 的分支是“朝正确方向迈出的一步”，并表示：“Truffle Security 从一开始就注重平衡隐私和漏洞赏金研究利益，这是一个好迹象。”

新功能扩展

Truffle Security 新增了对其他类型漏洞的检测支持，包括跨源资源共享（CORS）错误配置，这些配置可能允许外部站点查看和提取内部域的数据。CORS 漏洞可能尤其具有破坏性，Truffle Security 最近在调查不同的企业内部网络时发现了这一点。

Truffle Security 还将其 TruffleHog 工具的精简版集成到新版 XSS Hunter 中，使其能够扫描 HTML 页面以查找 AWS、GCP 和 Slack 密钥等机密信息。它还将通过 .git 目录扫描测试网站的源代码泄漏。

Ayrey 表示：“我们看到了一个机会，既可以解决隐私问题，又可以为网络安全社区提供 XSS Hunter 工具的新功能。”

Ayrey 称 Mandatory 支持这一努力并在过程中提供了帮助。Truffle Security 计划未来为 XSS Hunter 添加更多功能，包括更完整的 TruffleHog 版本。

Mandatory 补充道：“当我最初构建该服务时，许多人并不真正相信盲 XSS 是一个‘真正’的问题。如今，我认为没有人怀疑这些漏洞的普遍性和严重性，因此它基本实现了其初衷。”更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手