/jsonp-burp-killer

一款用于检测jsonp及cors漏洞的burp插件

Primary LanguageJava

jsonp-cors-burp-killer

简介

一款被动扫描检测jsonpcors漏洞的burpsuite插件,魔改自https://github.com/YoDiDi/cors-jsonp。优化了JSONPCORS的检测逻辑,在原有基础上降低了jsonp漏洞检测误报。

功能

  • 低误报检测JSONP漏洞,检测有无Referer头校验,可选择是否只检测存在泄漏敏感信息字段的JSONP接口。
  • 内置了JSONP特征检测及敏感信息抽取正则表达式,使用者可灵活修改参数。
  • 零误报检测CORS配置漏洞。

JSONP检测思路

  1. 解析url路径,检查query中的key是否包含预先定义好的关键字。
  2. 根据关键字修改http包,重新发包1。
  3. 检测是否存在JSONP,如果满足以下条件则认为存在JSONP
    • Callee.Namecallback函数名相同
    • 返回包满足JSONP回显包的特征
  4. 修改Referer头检测重新发包2,通过计算发包1及发包2内容的LevenshteinDistance相似度来判断该JSONP漏洞是否可利用。

使用说明

编译jsonp-cors-killer项目,将jsonp-cors-killer.jar导入burp,检测到的漏洞会输出到图形界面中。

如果提取到敏感信息字段,则会在issue中看到抽取出来的敏感字段(见下图包1、2);若检测到是JSONP接口但未发现敏感信息字段,在打开onlySensitiveJSONP检测的情况下也会将payload显示在界面中。

image-20240708154155787

jsonp key wordsjsonp接口常见的query key,可自行添加。

image-20240708154546780

configJSONP检测算法的参数

image-20240708154613309

  1. threshold:计算两个response body的相似度,用于检测是否有Referer头防护。经分析发现,JSONP可能会带有时间戳等信息,即便没有Referer头检测,两个回显包也可能不一致,因此用equals来判断两次发包得到的内容会带来误报,这里使用LevenshteinDistance算法计算两个文本相似度来降低误报。
  2. jsonpRegexjsonp模式的正则匹配表达式,一般不用修改。
  3. sensitiveInfoRegex:抽取敏感信息正则表达式。
  4. onlySensitiveJSONP:是否显示存在敏感信息泄漏的JSONP接口,若不过滤则修改为false
  5. cors:是否检测cors漏洞,若检测修改为true

TODO

欢迎contribute

  1. 优化检测算法
  2. 优化GUI