DAST Output in Burp e Capito

2

Recentemente ho aggiornato alla versione più recente di Burp che include i nuovi strumenti DAST. Sto ricevendo report dallo strumento che ha trovato Injection Javascript basato su DOM, ma ho problemi a digerire l'output:

Data is read from textarea.value and passed to eval. The source element has id pastBoxField and name pastBoxField. The previous value reached the sink as: (dkezib%2527%2522''"/dkezib/>xrpjqc&)

Nella demo Portswigger post qui: link L'exmaple appare molto più completo, con il valore reale iniettato e la dimostrazione del concetto. L'output che sto ottenendo non ha nulla di tutto questo. Solo ciò che si trova nei blocchi sopra e lo stack trace alla fonte e al sink.

Non posso per la vita di me sembrare ricreare questo o confermare se questo è falso positivo. Non ho il valore iniettato così anche se potrebbe essere il valore raggiunto al lavandino, non posso verificarlo. Sono relativamente nuovo a questo tipo di test, quindi sono sicuro che c'è un modo per testarlo manualmente. Ho cercato di trovare una descrizione approfondita che illustri una cosa del genere ma non riesca a trovarne una. Ovviamente quello di Portswigger, ma fornisce più informazioni del mio esempio.

Qualcuno può indicarmi la giusta direzione su come confermare manualmente se questo è un falso positivo o no? Non mi importa leggere la ricerca o qualcosa del genere. Mi rendo conto che è possibile eseguire il debug in Firefox, ma non riesco a capire come tracciare ciò di cui ho bisogno. Non esitate a urlare, sgridare o sottolineare che mi manca qualcosa di ovvio, se così fosse.

    
posta NewDev 29.10.2018 - 18:16
fonte

1 risposta

1

Non ho usato il nuovo scanner DAST, ma sembra che abbia iniettato (dkezib%2527%2522'''"/dkezib/>xrpjqc&) nel campo / variabile di input, ha eseguito javascript e trovato che ha raggiunto il eval() senza essere scappato. Di solito sono tutti gli ingredienti necessari per l'iniezione javascript.

Vorrei iniziare a giocare con variazioni di alert(1) e vedere se è possibile ottenere un popup. Probabilmente non funzionerà la prima volta e dovrai dare un'occhiata più da vicino al sorgente della pagina per capire perché. Dopo un'ora, di solito riesco a ottenere un popup (confermato vulnerabile), o a capire abbastanza bene il codice per essere sicuro al 90% che non sia vulnerabile.

    
risposta data 29.10.2018 - 19:04
fonte

Leggi altre domande sui tag