TruffleHog - Una extensión que detecta claves secretas en JavaScript

  • 0 Respuestas
  • 1347 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 1413
  • Actividad:
    100%
  • Country: 00
  • Reputación 23
    • Ver Perfil
    • Email
You are not allowed to view links. Register or Login

Los investigadores de Truffle Security han presentado una extensión de navegador dedicada, "TruffleHog", que puede ayudar a los cazarrecompensas de errores (Bug Bounty ).
La herramienta ayuda a encontrar claves secretas de API en código JavaScript.

Al compartir los detalles a través de una publicación de blog, Dylan Ayrey, cofundador de la firma, explicó que la herramienta puede ayudar a las organizaciones a prevenir riesgos de seguridad debido a claves secretas expuestas.

TruffleHog en sí no es una herramienta nueva y ha existido durante muchos años con desarrolladores que realizan mejoras constantes.

Está disponible como una extensión del navegador Chrome de código abierto. La herramienta encuentra claves API incrustadas en el código JavaScript. Estas claves suelen aparecer en la interfaz de una aplicación cuando las API permiten CORS (intercambio de recursos de origen cruzado).

 Como se indica en la publicación:

De forma predeterminada, los sitios web no pueden simplemente realizar solicitudes y leer la respuesta a otras API sin que la API externa los invite a hacerlo con un encabezado CORS permisivo.
Las API de Amazon AWS, así como muchas otras API de proveedores de nube y SaaS, tienen configuraciones CORS extremadamente permisivas.
Esto, no solo alienta a los sitios web a realizar solicitudes a AWS, sino que, dado que las API de AWS tienen credenciales, fomenta que Javascript contenga credenciales de AWS.


A pesar de su utilidad, esta función también amenaza la seguridad de las aplicaciones internas, lo que puede ser una amenaza para las empresas.

Debido a que varias aplicaciones de frontend a menudo consumen la misma API de backend, muchas aplicaciones internas lamentablemente obtienen alcances con configuraciones de CORS permisivas ... un origen externo de la Internet abierta con la capacidad de realizar solicitudes a aplicaciones internas y API, ver las respuestas y robar claves de API codificadas del lado del cliente en las aplicaciones internas.

Aplicación en el mundo real

Los cazarrecompensas e investigadores de aplicaciones pueden utilizar esta herramienta para encontrar dichas claves e informarlas a las empresas y proveedores.

Esta herramienta también puede ayudar a los equipos de seguridad dentro de las empresas a realizar evaluaciones internas.
Junto con JavaScript, la extensión TruffleHog también puede escanear y detectar directorios .git y archivos .env que pueden contener credenciales.

Los investigadores han enviado la herramienta para su revisión en Chrome Store.

 Mientras tanto, los usuarios interesados pueden descargar la herramienta desde GitHub:

Extensión TruffleHog

You are not allowed to view links. Register or Login

Fuente:
Latest Hacking News
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login