Burp Suite erkennt schnell und einfach das XSS-Problem beim DOM-basierten Cross Site Scripting, das direkt im Browser ausgeführt wird.
Der DOM Invader von Burp Suite hilft Ihnen, DOM-basierte Schwachstellen schnell und gezielt zu finden. Sobald Sie den Invader aktiviert haben: Erkennt die Burp Suite das XSS-Problem beim direkt im Browser ausgeführten DOM-basierten Cross Site Scripting schnell und einfach. Die Aktivierung an sich ist simpel:
Die Burp Suite lässt sich also mit wenigen Handgriffen und Klicks direkt in Betrieb nehmen. Dadurch eignet sich das Tool bestens für den regelmäßigen Einsatz im Alltag. Auch für umfangreichere Sicherheitstests oder im Rahmen eines Penetrationstests kann sie somit von Nutzen sein.
Damit Sie die Burp Suite wie gewünscht nutzen können, sollten Sie die Einstellungen des Invaders überprüfen. Dazu reicht ein Blick auf das Burp Suite Symbol aus. Es befindet sich in der oberen rechten Ecke des Browsers und lässt sich mit einem Klick öffnen. Über die Einstellungen bestimmen Sie außerdem, wie sich die Suite verhält, wodurch Sie unterschiedliche Testszenarien realisieren können.
Der Invader der Burp Suite ist ein effektives Tool, wenn es darum geht, DOM-XSS aufzuspüren. Anhand der gesendeten Werte können Sie es so überprüfen, als würde es sich dabei um ein reflektiertes XSS handeln. Die Funktionsweise ist einfach aber effektiv:
Zunächst lädt die Seite, die Sie testen möchten. Anschließend wird der Canary in eine allgemeine Quelle oder einen bestimmten Abfrageparameter eingeführt. Über die DevTools, die im Browser der Burp Suite eingebettet sind, öffnen Sie den "Augmented DOM"-Tab. Anschließend sehen Sie sämtliche Senken und Quellen mit dem Canary-Wert. Die Anzeige basiert auf einer Baumansicht für sämtliche verfügbare Quellen, sodass sie übersichtlich bleibt und Sie sie zielführend nutzen können. Besonders hilfreich: Die Aufträge innerhalb der Burp Suite sind absteigend angeordnet - das bedeutet, Sie sehen zuerst die interessantesten der Einträge.
Wenn Sie einen relevanten Eintrag finden, können Sie sich den Wert anzeigen lassen, ebenso den zugehörigen Stacktrace. Sinnvoll kann es an dieser Stelle sein, zusätzliche Zeichen im URL-Parameter oder einer anderen Quelle des Canary zu hinterlegen. Auf diese Weise können Sie schnell und einfach feststellen, ob die Zeichen korrekt codiert sind.
Sobald Sie die Seite in Ihrem Browser wechseln, beispielsweise durch eine Umleitung, Weiterleitung oder Ähnliches, lädt der Canary neu. Das bedeutet für Sie: Die meisten Abläufe erfolgen automatisch und Sie müssen nur wenige Einstellungen im Vorfeld definieren, um aussagekräftige Ergebnisse zu erhalten. Durch das praktische Aufführen der Funde in Listenform sind diese außerdem schön übersichtlich.
Sie profitieren bereits nach kurzer Zeit durch den gebotenen Überblick. Das macht die Burp Suite zu einem hervorragenden Begleiter hin zu mehr Sicherheit in Ihren Internetanwendungen. Übrigens können Sie die Burp Suite nicht nur im unternehmerischen Umfeld nutzen, auch wenn sie dort besonders wichtig ist: Für Ihre persönlichen Single-Page-Web-Anwendungen ist sie ebenfalls bestens geeignet.
Beim Cross Site Scritpting handelt es sich um eine Art Injection-Angriff, und zwar Client-seitig ausgeführt. Dabei wird ein bösartiges Skript in eine andernfalls legitime Website injiziert und anschließend ausgeführt. Sobald der Benutzer die Internetseite mit diesem injizierten Code besucht, beginnt der Angriff. Dadurch stellt diese Form des Scriptings ein hohes Risiko dar, das es mit der Burp Suite einzuschränken gilt.
Das Gute vorab: Viele der XSS-Schwachstellen lassen sich mithilfe eines Penetrationstests aufspüren. Meist finden sie sich in Single-Page-Web-Anwendungen, in denen ein großer Teil der Businesslogik, in das Frontend verlagert ist. Dies geschieht meistens in Form von Java Scripts, wodurch die Scripting-Vulnerability zu einer der weitverbreitetsten Schwachstellen für Web-Anwendungen gehört. Auch in API-Calls finden sich diese Angriffsvektoren immer häufiger, was die Schwachstelle in sich kritisch macht. Allerdings lässt sich der Angriff nicht nur Client-seitig ausführen, sondern gelingt ebenso Server-seitig.
Das Ziel einer solchen Attacke ist meist, an vertrauliche Daten zu gelangen. Ebenso Schäden im System anzurichten oder die Anwendung komplett zu übernehmen. Das funktioniert besonders gut, weil sich der Angriffscode innerhalb eines vermeintlich sicheren Kontextes befindet. Das macht diese Methode nicht nur beliebt, sondern auch gefährlich.
Übrigens: Mit XSS lassen sich Internetseiten grundsätzlich verändern, sodass die Angreifer die Kontrolle über den Browser übernehmen können. Vertrauliche Informationen oder Passwörter, die sich so auslesen lassen, erhält der Cyberkriminelle ohne viele Anstrengungen. Mit der Burp Suite lassen sich ebendiese Schwachstellen allerdings problemlos aufdecken.
Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: