Behave!
Behave!是一款针对浏览器页面活动的监控插件,广大研究人员可以利用Behave!来对Web页面的各种活动和行为进行监控,目前该项目仍处于开发阶段。
Behave!能够对Web页面内的活动进行监控和检测,其中包括:
- 浏览器基于端口的扫描活动;
- 访问私有IP地址的行为;
- 针对私有IP的DNS重绑定攻击行为;
监控端口扫描活动
如果目标Web页面尝试访问的IP地址属于下列情况的话,Behave!将会给用户发出警告提醒:
本地回环地址IPv4 127.0.0.1/8 本地回环地址IPv6 ::1/128 私有IP地址IPv4 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16 唯一本地地址IPv6 fc00::/7
针对私有地址的DNS解析行为
如果一个恶意脚本控制浏览器去跟一个FQDN连接,而这个FQDN的权威DNS解析指向的是一个私有IP地址的话,Behave!将会检查解析后的IP地址是否为私有地址。无论如何,解析主机名的IP地址只有当端口处于打开状态时才能生效。
Behave!还可以预防TOCTOU攻击问题,并且不会执行任何外部DNS请求。如果端口处于关闭状态,那么将无可用的IP解析,因此将不会发出警报提醒。
DNS重绑定绕过
Behave!不会执行任何直接的DNS请求,IP地址取自其拦截到的响应信息。这也就意味着,Behave!不会受到任何TOCTOU攻击的影响,比如说DNS重绑定攻击。
DNS重绑定监控
Behave!将持续追踪一个主机名是否会解析为多个IP地址,如果解析地址混合有公共IP和私有IP的话,Behave!将会发出警告提醒。
源码获取
广大研究人员可以使用下列命令将该项目源码克隆至本地:
代码语言:javascript复制git clone https://github.com/mindedsecurity/behave.git接下来,解压源码,打开Google Chrome或Chromium,访问下列地址:
代码语言:javascript复制chrome://extension激活浏览器的开发者模式,加载Behave!目录,然后就可以使用Behave!的强大功能啦!
插件下载
当然了,广大用户也可以直接下载封装好的插件工具。
火狐浏览器插件:
https://addons.mozilla.org/en-US/firefox/addon/behave/
Chrome浏览器插件:
https://chrome.google.com/webstore/detail/mppjbkhgconmemoeagfbgilblohhcica/
Behave!测试
DNS重绑定攻击:
http://rebind.it:8080/manager.html
JavaScript端口扫描:
http://jsscan.sourceforge.net/jsscan2.html
下面给出的是我们使用Behave!来对at.tack.er页面进行监控的情况,活动细节将会记录在日志记录中:
项目地址
Behave!:https://github.com/mindedsecurity/behave
