DOM Invader - das neue Feature der Burp Suite

So aktivieren Sie DOM Invader in der Burp Suite

Der DOM Invader von Burp Suite hilft Ihnen, DOM-basierte Schwachstellen schnell und gezielt zu finden. Sobald Sie den Invader aktiviert haben: Erkennt die Burp Suite das XSS-Problem beim direkt im Browser ausgeführten DOM-basierten Cross Site Scripting schnell und einfach. Die Aktivierung an sich ist simpel:

• Schritt 1: Öffnen Sie die Burp Suite im Chromium Browser.
• Schritt 2: Öffnen Sie den eingebetteten Browser von Burp. Dieser befindet sich auf der Registrierkarte Proxy. Ist die Erweiterung nicht per Default angepinnt, klicken Sie auf das Steckersymbol, um es anzuheften.
• Schritt 3: Anschließend aktivieren Sie den Invader unter den Erweiterungseinstellungen.

Die Burp Suite lässt sich also mit wenigen Handgriffen und Klicks direkt in Betrieb nehmen. Dadurch eignet sich das Tool bestens für den regelmäßigen Einsatz im Alltag. Auch für umfangreichere Sicherheitstests oder im Rahmen eines Penetrationstests kann sie somit von Nutzen sein.

Das sind die DOM Invader Einstellungen

Damit Sie die Burp Suite wie gewünscht nutzen können, sollten Sie die Einstellungen des Invaders überprüfen. Dazu reicht ein Blick auf das Burp Suite Symbol aus. Es befindet sich in der oberen rechten Ecke des Browsers und lässt sich mit einem Klick öffnen. Über die Einstellungen bestimmen Sie außerdem, wie sich die Suite verhält, wodurch Sie unterschiedliche Testszenarien realisieren können.

• Auto-Fire-Ereignisse: Klick- und Mouseover-Ereignisse automatisch auszulösen, ist mit DOM ebenfalls möglich. Beim Laden der Seite geladen, wird jedes Element entsprechend ausgewertet. Auf diese Weise stellt die Burp Suite sicher, injizierte Nutzlasten direkt automatisch auszuführen.
• Stacktrace zur Nachrichtenfilterung: Ein häufiges Problem beim Testen von Websites ist die große Anzahl ausgelöster Nachrichten. Sie führen zu einem Rauschen, wodurch sich die Tests erschweren. Durch den Stacktrace blendet die Burp Suite sämtliche Einträge aus, die mehrfach auf identische Code-Stellen verweisen.
• Postnachrichten abfangen: Sobald diese Option aktiv ist, können Sie in der Web-Messaging-Funktion der Seite Cross-Site-Scripts testen. Das funktioniert über die Registrierkarte Postmessage im DevTools-Bedienfeld. Zusätzlich stehen Ihnen ein paar spezifische Einstellungen bereit, durch die Sie das gewünschte Verhalten verfeinern können.
• Canary in sämtlichen Quellen injizieren: Mit dieser Einstellung injizieren Sie den Canary automatisch in die identifizierten Quellen der Seite. Dabei hängt das Programm eine eindeutige Zeichenfolge an, wodurch Sie schnell erkennen können, welche Quelle wohin fließt. Das Gute daran: So sparen Sie Zeit dabei, Schwachstellen aufzuspüren. Diese Option ist per Default deaktiviert, da es möglich ist, dass die Seite andernfalls nicht richtig lädt.
• Umleitungen verhindern: Es kann vorkommen, dass Ihre eigenen Aktionen eine DOM-basierte Umleitung auslösen. Dieses Weiterleiten auf eine andere Seite kann ihren Test beeinträchtigen. Grund dafür ist das Löschen der Registrierkarten und deren Aktualisieren mit der neuen Quelle. Ist "Umleitung verhindern" hingegen aktiviert, wird die DOM-basierte Weiterleitung unterbunden. Lediglich die Weiterleitungen zu Javascript-URLs bleiben erhalten - oder solche, die durch die Schaltfläche Canary in URL initiiert sind.
• Canary aktualisieren: Der Canary basiert standardmäßig auf einer zufälligen alphanumerischen Zeichenfolge. Allerdings lässt er sich mit jedem beliebigen Canary überschreiben. Anschließend müssen Sie die Schaltfläche im Chromium Browser jedoch neu laden, bevor die Änderungen greifen.

So funktioniert DOM Invader

Der Invader der Burp Suite ist ein effektives Tool, wenn es darum geht, DOM-XSS aufzuspüren. Anhand der gesendeten Werte können Sie es so überprüfen, als würde es sich dabei um ein reflektiertes XSS handeln. Die Funktionsweise ist einfach aber effektiv:

Zunächst lädt die Seite, die Sie testen möchten. Anschließend wird der Canary in eine allgemeine Quelle oder einen bestimmten Abfrageparameter eingeführt. Über die DevTools, die im Browser der Burp Suite eingebettet sind, öffnen Sie den "Augmented DOM"-Tab. Anschließend sehen Sie sämtliche Senken und Quellen mit dem Canary-Wert. Die Anzeige basiert auf einer Baumansicht für sämtliche verfügbare Quellen, sodass sie übersichtlich bleibt und Sie sie zielführend nutzen können. Besonders hilfreich: Die Aufträge innerhalb der Burp Suite sind absteigend angeordnet - das bedeutet, Sie sehen zuerst die interessantesten der Einträge.

Wenn Sie einen relevanten Eintrag finden, können Sie sich den Wert anzeigen lassen, ebenso den zugehörigen Stacktrace. Sinnvoll kann es an dieser Stelle sein, zusätzliche Zeichen im URL-Parameter oder einer anderen Quelle des Canary zu hinterlegen. Auf diese Weise können Sie schnell und einfach feststellen, ob die Zeichen korrekt codiert sind.

Der DOM Invader ist übersichtlich und praktisch in der Anwendung

Sobald Sie die Seite in Ihrem Browser wechseln, beispielsweise durch eine Umleitung, Weiterleitung oder Ähnliches, lädt der Canary neu. Das bedeutet für Sie: Die meisten Abläufe erfolgen automatisch und Sie müssen nur wenige Einstellungen im Vorfeld definieren, um aussagekräftige Ergebnisse zu erhalten. Durch das praktische Aufführen der Funde in Listenform sind diese außerdem schön übersichtlich.

Sie profitieren bereits nach kurzer Zeit durch den gebotenen Überblick. Das macht die Burp Suite zu einem hervorragenden Begleiter hin zu mehr Sicherheit in Ihren Internetanwendungen. Übrigens können Sie die Burp Suite nicht nur im unternehmerischen Umfeld nutzen, auch wenn sie dort besonders wichtig ist: Für Ihre persönlichen Single-Page-Web-Anwendungen ist sie ebenfalls bestens geeignet.

Was ist Cross Site Scripting (XSS) und wie funktioniert es?

Beim Cross Site Scritpting handelt es sich um eine Art Injection-Angriff, und zwar Client-seitig ausgeführt. Dabei wird ein bösartiges Skript in eine andernfalls legitime Website injiziert und anschließend ausgeführt. Sobald der Benutzer die Internetseite mit diesem injizierten Code besucht, beginnt der Angriff. Dadurch stellt diese Form des Scriptings ein hohes Risiko dar, das es mit der Burp Suite einzuschränken gilt.

Das Gute vorab: Viele der XSS-Schwachstellen lassen sich mithilfe eines Penetrationstests aufspüren. Meist finden sie sich in Single-Page-Web-Anwendungen, in denen ein großer Teil der Businesslogik, in das Frontend verlagert ist. Dies geschieht meistens in Form von Java Scripts, wodurch die Scripting-Vulnerability zu einer der weitverbreitetsten Schwachstellen für Web-Anwendungen gehört. Auch in API-Calls finden sich diese Angriffsvektoren immer häufiger, was die Schwachstelle in sich kritisch macht. Allerdings lässt sich der Angriff nicht nur Client-seitig ausführen, sondern gelingt ebenso Server-seitig.

Das Ziel einer solchen Attacke ist meist, an vertrauliche Daten zu gelangen. Ebenso Schäden im System anzurichten oder die Anwendung komplett zu übernehmen. Das funktioniert besonders gut, weil sich der Angriffscode innerhalb eines vermeintlich sicheren Kontextes befindet. Das macht diese Methode nicht nur beliebt, sondern auch gefährlich.

Übrigens: Mit XSS lassen sich Internetseiten grundsätzlich verändern, sodass die Angreifer die Kontrolle über den Browser übernehmen können. Vertrauliche Informationen oder Passwörter, die sich so auslesen lassen, erhält der Cyberkriminelle ohne viele Anstrengungen. Mit der Burp Suite lassen sich ebendiese Schwachstellen allerdings problemlos aufdecken.