DOM Invader - das neue Feature der Burp Suite

So aktivieren Sie DOM Invader in der Burp Suite

Der DOM Invader von Burp Suite hilft Ihnen, DOM-basierte Schwachstellen schnell und gezielt aufzuspüren. Sobald Sie den Invader aktiviert haben, erkennt die Burp Suite DOM-basiertes Cross Site Scripting direkt im Browser -- schnell und zuverlässig. Die Aktivierung ist denkbar einfach:

• Schritt 1: Öffnen Sie die Burp Suite im Chromium-Browser.
• Schritt 2: Öffnen Sie den eingebetteten Browser von Burp. Sie finden ihn auf der Registerkarte „Proxy". Falls die Erweiterung nicht standardmäßig angepinnt ist, klicken Sie auf das Steckersymbol, um sie anzuheften.
• Schritt 3: Aktivieren Sie anschließend den Invader in den Erweiterungseinstellungen.

Die Burp Suite lässt sich somit mit wenigen Handgriffen direkt in Betrieb nehmen. Dadurch eignet sich das Tool bestens für den regelmäßigen Einsatz im Arbeitsalltag -- sei es für umfangreichere Sicherheitstests oder im Rahmen eines Penetrationstests.

Die DOM Invader Einstellungen im Überblick

Um die Burp Suite optimal nutzen zu können, sollten Sie die Einstellungen des Invaders überprüfen. Klicken Sie dazu auf das Burp Suite Symbol in der oberen rechten Ecke des Browsers. Über die Einstellungen legen Sie fest, wie sich die Suite verhält, und können so verschiedene Testszenarien abbilden.

• Auto-Fire-Ereignisse: DOM Invader kann Klick- und Mouseover-Ereignisse automatisch auslösen. Beim Laden der Seite wird jedes Element entsprechend ausgewertet, sodass injizierte Nutzlasten unmittelbar ausgeführt werden.
• Stacktrace zur Nachrichtenfilterung: Ein häufiges Problem beim Testen von Websites ist die große Anzahl ausgelöster Nachrichten, die zu störendem Rauschen führen. Der Stacktrace-Filter blendet sämtliche Einträge aus, die mehrfach auf dieselben Code-Stellen verweisen.
• Postnachrichten abfangen: Sobald diese Option aktiv ist, können Sie Cross-Site-Scripts über die Web-Messaging-Funktion der Seite testen. Dies geschieht über die Registerkarte „Postmessage" im DevTools-Bedienfeld. Zusätzlich stehen Ihnen weitere Feineinstellungen zur Verfügung, mit denen Sie das Verhalten gezielt anpassen können.
• Canary in sämtliche Quellen injizieren: Mit dieser Einstellung wird der Canary automatisch in alle identifizierten Quellen der Seite eingefügt. Das Programm hängt dabei eine eindeutige Zeichenfolge an, sodass Sie schnell erkennen, welche Quelle wohin fließt. Das spart wertvolle Zeit bei der Suche nach Schwachstellen. Diese Option ist standardmäßig deaktiviert, da sie das korrekte Laden der Seite beeinträchtigen kann.
• Umleitungen verhindern: Es kann vorkommen, dass Ihre Aktionen eine DOM-basierte Umleitung auslösen. Eine solche Weiterleitung auf eine andere Seite kann Ihren Test beeinträchtigen, da die Registerkarten gelöscht und mit der neuen Quelle aktualisiert werden. Ist „Umleitung verhindern" aktiviert, wird die DOM-basierte Weiterleitung unterbunden. Lediglich Weiterleitungen zu JavaScript-URLs bleiben erhalten -- ebenso solche, die über die Schaltfläche „Canary in URL" initiiert werden.
• Canary aktualisieren: Der Canary basiert standardmäßig auf einer zufälligen alphanumerischen Zeichenfolge, lässt sich jedoch mit einem beliebigen Wert überschreiben. Nach der Änderung müssen Sie die Seite im Chromium-Browser neu laden, damit die Anpassung wirksam wird.

So funktioniert DOM Invader

Der Invader der Burp Suite ist ein leistungsstarkes Werkzeug, um DOM-XSS-Schwachstellen aufzuspüren. Die gesendeten Werte lassen sich dabei so überprüfen, als handele es sich um ein reflektiertes XSS. Die Funktionsweise ist einfach, aber wirkungsvoll:

Zunächst laden Sie die zu testende Seite. Anschließend wird der Canary in eine allgemeine Quelle oder einen bestimmten Abfrageparameter eingefügt. Über die in Burp Suite eingebetteten DevTools öffnen Sie den „Augmented DOM"-Tab. Dort sehen Sie sämtliche Senken und Quellen, die den Canary-Wert enthalten. Die Darstellung erfolgt als Baumansicht über alle verfügbaren Quellen, sodass sie übersichtlich bleibt und Sie gezielt damit arbeiten können. Besonders hilfreich: Die Einträge sind absteigend nach Relevanz sortiert -- die interessantesten Ergebnisse erscheinen also ganz oben.

Wenn Sie einen relevanten Eintrag finden, können Sie sich den zugehörigen Wert und Stacktrace anzeigen lassen. An dieser Stelle kann es sinnvoll sein, zusätzliche Zeichen im URL-Parameter oder einer anderen Canary-Quelle zu hinterlegen. So lässt sich schnell feststellen, ob die Zeichen korrekt codiert sind.

Übersichtlich und praktisch in der Anwendung

Sobald Sie die Seite in Ihrem Browser wechseln -- etwa durch eine Umleitung oder Weiterleitung --, lädt der Canary automatisch neu. Das bedeutet: Die meisten Abläufe laufen im Hintergrund ab, und Sie müssen vorab nur wenige Einstellungen vornehmen, um aussagekräftige Ergebnisse zu erhalten. Die übersichtliche Darstellung der Funde in Listenform erleichtert die Auswertung zusätzlich.

Sie profitieren bereits nach kurzer Einarbeitungszeit von einem umfassenden Überblick. Das macht die Burp Suite zu einem hervorragenden Begleiter für mehr Sicherheit in Ihren Webanwendungen. Die Suite eignet sich dabei nicht nur für den Unternehmenseinsatz, sondern auch für Ihre persönlichen Single-Page-Webanwendungen.

Was ist Cross Site Scripting (XSS) und wie funktioniert es?

Cross Site Scripting ist eine Form des clientseitigen Injection-Angriffs. Dabei wird ein schädliches Skript in eine ansonsten legitime Website eingeschleust und ausgeführt. Sobald ein Nutzer die betroffene Seite aufruft, startet der Angriff. Diese Angriffsform stellt ein erhebliches Risiko dar, das sich mit der Burp Suite gezielt eindämmen lässt.

Die gute Nachricht: Viele XSS-Schwachstellen lassen sich mithilfe eines Penetrationstests aufdecken. Besonders häufig treten sie in Single-Page-Webanwendungen auf, bei denen ein Großteil der Geschäftslogik ins Frontend verlagert ist. Da dies überwiegend in JavaScript geschieht, zählt die Scripting-Vulnerability zu den verbreitetsten Schwachstellen in Webanwendungen. Auch in API-Aufrufen finden sich diese Angriffsvektoren zunehmend häufiger, was die Schwachstelle besonders kritisch macht. Dabei ist der Angriff nicht auf die Clientseite beschränkt -- er lässt sich ebenso serverseitig ausführen.

Das Ziel einer solchen Attacke ist in der Regel, an vertrauliche Daten zu gelangen, Schäden im System anzurichten oder die Anwendung vollständig zu übernehmen. Der Angriff ist deshalb so wirkungsvoll, weil sich der Schadcode innerhalb eines vermeintlich sicheren Kontextes befindet. Das macht diese Methode nicht nur weit verbreitet, sondern auch besonders gefährlich.

Gut zu wissen: Über XSS lassen sich Webseiten grundlegend verändern, sodass Angreifer die Kontrolle über den Browser übernehmen können. Vertrauliche Informationen und Passwörter gelangen so mit vergleichsweise geringem Aufwand in die Hände von Cyberkriminellen. Mit der Burp Suite lassen sich genau diese Schwachstellen jedoch zuverlässig aufdecken.