Burp插件-蜜罐识别辅助HoneyPotDetector

蜜罐技术jsonp劫持原理:
JSON劫持又称“JSON Hijacking”，2008年国外安全研究人员开始提到由JSONP带来的风险。这个问题属于CSRF（Cross-site request forgery跨站请求伪造）攻击范畴，当某网站通过JSONP的方式跨域（一般为子域）传递用户认证后的敏感信息时，攻击者可以构造恶意的JSONP调用页面，诱导被攻击者访问，以达到截取用户敏感信息的目的,但是不同之处在于，csrf可以不止script标签来利用，还可以利用img等加载外部资源的标签，而jsonp劫持目前只能通过script标签来引入js代码调用

大部分的jsonp都是通过加载script的方式进行引入url,并且
jsonp劫持需要指定回调函数，而回调函数往往与callback,jsonp等单词有关，因此我们可以先利用这些关键单词进行识别

插件原理:
插件是被动扫描的,蜜罐特征请求API域名正则匹配规则内置50多条，涉及特殊API调用的敏感域名请求(jsonp),以及对响应的js代码中是否存在callback回调函数或jsonp关键词进行捕获信息通过Captured输出信息(比如你访问一个网站,但这个网站通过jsonp技术请求百度贴吧的API域名或163域名的话，那肯定是有问题的了，也能够判断出来)

效果:
HFish节点部署个浙江大华蜜罐

访问web蜜罐后,被动扫描完成就会出现内容

说明该js文件内容有jsonp和callback的关键字

访问Hadoop蜜罐系统

存在大量第三方网址请求(jsonp劫持通过请求这些API网址实现获取攻击者身份ID等等)

通过插件的url可以看到

http://message.dangdang.com:80/api/msg_detail.php?customer_id=o4P00TweebicwjhS72NWew%3D%3D&data_type=jsonp&pageindex=1&module=1&pagesize=20&_=1596772198527&callback=jsonp1708592700262

可以看到是当当网的jsonp劫持

缺点:
缺点是流量大的时候数量会很多,当然也有大量误报情况,需要再人工判断下自己是不是真的踩到了蜜罐
误报中Captured捕获到callback的关键词较多的误报,但如果有FingerprintJS,fingerprint2,monitordevinfo这几个关键捕获就90%可以确定是个蜜罐系统了

插件下载地址:

https://gitee.com/CTF-hacker/honey-pot-detector