新的XSS Hunter主机Truffle Security面临隐私反弹

流行的黑客工具XSS Hunter的新版本的维护者因检查用户在共享有关已发现漏洞的匿名统计数据后生成的潜在敏感数据而受到批评。来自Truffle Security的有争议的通信在推特上发布,Truffle Security发布了开源工具的新分支,此前其被原始创建者Matthew Bryant弃用。“哇,自从我们推出我们的XSSHunter版本以来,超过1000个XSS报告,”它说。

“其中约20个暴露了他们的.git目录”,它继续补充道,“其中约15个暴露了云凭证,>100个存在CORS问题!”

这在Twitter上引起了漏洞猎手和安全研究人员的恐慌,其中包括黑客和渗透测试员Julien Ahrens。“听起来好像有人在仔细查看你的数据……”他发推文说。“提示:托管您自己的xsshunter-express或ezxss实例,以避免将潜在的敏感数据泄露给该公司。”

Truffle Security通过删除违规推文并承认阻力来回应社交媒体风暴:“我们发布了一些关于XSSHunter的匿名统计数据(类似于Hackerone的公开匿名报告),社区成员表达了对隐私的担忧,因此我们将其撤下。感谢您转发它,让我们承担责任是完全公平的。”

然而,“@Th3MadHacker”反驳道:“这与hackerone不同,hackerone上的程序同意共享指标。”

在回应询问时,Truffle Security联合创始人Dylan Ayrey回应了他公司Twitter帐户上发布的评论,并试图缓解隐私问题,并补充说:“员工没有查看任何人的原始报告”。

与此同时,Colin Winhall敦促漏洞赏金平台“为bXss提供内部解决方案并分叉他们自己的XSSHunter版本”。

总部位于巴黎的漏洞赏金平台YesWeHack强调了自己的此类自托管带外工具PwnMachine解决方案。

漏洞赏金计划通常禁止使用第三方平台托管的黑客工具,因为敏感数据泄露的风险可能会助长恶意黑客,亚马逊VRP现在就是这种情况。

XSS Hunter上周作为一项托管服务发布,此前Bryant又名“强制性”)宣布他将不再维护该应用程序。

该服务的新版本托管在总部位于旧金山的Truffle Security域中,是原始代码的开源分支。

Bryant仍然是xsshunter-express存储库的维护者,用户可以通过它自行托管自己的实例,并且可以迁移到其他分支。

隐私问题似乎是推出新的XSS Hunter服务和开发新功能的动机,例如模糊平台捕获的屏幕截图。

Truffle Security的Ayrey之前在接受采访时谈到重新启动时表示,“XSS Hunter的许多用户会不小心将敏感数据发送到平台”。他还对弃用后表示担忧,“另一种工具可能会出现,用可能对收集的数据有不同意图[to Mandatory]​​的运营商取代它。

“我们看到了解决隐私问题以及为网络安全社区提供新功能的机会,”Ayrey补充道。

Bryant说他“对服务中存储的大量漏洞信息越来越感到不安”,并表示“Truffle Security着眼于平衡隐私和漏洞赏金研究兴趣”。

发表评论

评论已关闭。

相关文章