aarsaputra/ppmap-proto-pollution

# 🚀 PPMAP v4.4.2 - 原型污染扫描器 ``` ____ ____ __ __ _ ____ | _ \| _ \| \/ | / \ | _ \ | |_) | |_) | |\/| | / _ \ | |_) | | __/| __/| | | |/ ___ \| __/ |_| |_| |_| |_/_/ \_\_| Prototype Pollution Multi-Purpose Assessment Platform v4.4.2 Enterprise (Scanner | SAST | GraphQL | WebSocket) ``` **综合的JavaScript原型污染与XSS漏洞扫描器**，具备浏览器自动化、高级检测方法和完整的利用指南。

## ✨ 功能特性 ### **架构与可靠性 (v4.4.2新增)** - **清晰架构**：模块化的分层设计（符合SOLID原则），便于维护。 - **自愈引擎**：自动恢复浏览器崩溃并重新初始化会话。 - **智能误报引擎**：基于DOM的验证，用于确认WAF和清理机制的绕过。 - **去重发现**：优化的爬虫，支持URL规范化和JS API链接提取。 - **细粒度日志**：支持逐层调试日志和`--debug`标志进行深度追踪。 ### **检测方法 (共32种)** **第0层 - 标准检测：** - jQuery原型污染 (CVE-2019-11358) - 服务端原型污染 (Lodash, Node.js) - POST参数XSS - **智能WAF检测** (基线检查 + 特征识别) - WAF绕过 (50+种变体) - **智能扫描优化** (静态文件过滤 & 浏览器复用) - 端点发现 & 递归循环预防 - 置信度评分 **第1层 - 盲检测：** - JSON空格溢出 (Express.js侧信道) - HTTP状态码覆盖 - Function.prototype链 - 持久性验证 - **带外(OOB)检测** (Interact.sh集成) **第2层 - 现代框架：** - React 19/Next.js Flight协议 (RESEARCH-2024-REACT-FLIGHT) - SvelteKit/Superforms (RESEARCH-2024-SVELTEKIT-RCE) - 字符集/编码绕过 (UTF-7, ISO-2022) **第3层 - PortSwigger高级技术：** - fetch() API头污染 - Object.defineProperty()绕过 - child_process RCE检测 (安全模式) **第4层 - 现代绕过技术 (2024/2026研究)：** - 基于构造函数的污染 (主要的现代绕过) - 清理绕过 (递归过滤器规避) - 描述符污染 (Object.defineProperty利用) - 盲Gadget Fuzzer (pp-finder/BlackFan/Yuske研究) - **深度链式模糊测试** (递归嵌套路径污染: `__proto__.config.request.url`) - **HTTP头模糊测试** (通过`X-Forwarded-For: __proto__[admin]=true`进行主动注入) **第5层 - 研究缺口特性 (refrensi.md集成)：** - CORS头污染 (安全的服务器端检测) - 第三方库Gadget (GA, GTM, Adobe DTM, Vue.js, DOMPurify) - 存储API污染 (localStorage/sessionStorage) - **高级端点发现** (基于正则表达式的深度JavaScript源代码提取) **第6层 - CVE特定与真实世界利用：** - CVE特定Payload (深度合并, Protobufjs, Safe-eval等) - Kibana遥测RCE (HackerOne #852613 - $10k赏金) - Blitz.js RCE链 (CVE-2022-23631) - Elastic XSS (HackerOne #998398) **第7层 - GraphQL原型污染 (v4.x新增)：** - GraphQL端点自动检测 - Schema内省攻击 - Mutation/Query原型污染注入 - 8种GraphQL特定Payload **第8层 - 方法覆盖 (企业版新增)：** - 原生JavaScript对象方法覆盖 (`toString`, `valueOf`) - 通过`hasOwnProperty`导致的客户端DOM DoS - 服务端序列化崩溃 **第9层 - WebSocket原型污染 (v4.x新增)：** - 原生WebSocket扫描 - Socket.IO事件污染 - Redux动作注入 - GraphQL订阅攻击 **SAST模式 (v4.x新增)：** - 无需执行的静态JS分析 - 15+种危险接收器模式 - jQuery, Lodash, 原生JS检测 - CVE映射 (CVE-2019-11358, CVE-2018-16487) ### **Payload** - **总数:** 266+ 个Payload (+8 GraphQL) - **类别:** 10种类型 (+GraphQL, WebSocket) - **覆盖:** 已知原型污染向量的98%以上 ## 🎯 快速开始 ### 安装 ``` pip install -r requirements.txt ``` ### 基本扫描 ``` python3 ppmap.py --scan "https://target.com" ``` ### 查看结果 ``` # Open the latest interactive report open reports/$(ls -t reports | head -n 1)/report.html ``` ## 🛡️ 真实场景 ### **1. 批量漏洞赏金狩猎** 加速跨数千个子域名的发现。 ``` subfinder -d example.com -silent | python3 ppmap.py --scan --stdin --headless --workers 10 ``` ### **2. 隐蔽性测试** 在受限环境中绕过WAF和速率限制。 ``` python3 ppmap.py --scan "https://target.com" --stealth --delay 2 --proxy "http://127.0.0.1:8080" ``` ### **3. 快速针对性单页扫描** 禁用端点爬虫，仅扫描提供的确切URL（速度更快）。 ``` python3 ppmap.py --scan "https://target.com" --no-crawl ``` ### **4. 深度取证审计 (SAST + DAST)** 结合静态分析与动态执行，实现100%覆盖。 ``` # First, scan the source code python3 -m ppmap.sast --dir ./src --output sast_findings.json # Then, verify with browser automation python3 ppmap.py --scan "https://staging.target.com" --oob --async-scan ### **4. Authenticated Assessment** Perform deep scans behind a login wall using session cookies. ```bash python3 ppmap.py --scan "https://billing.target.com/profile" --cookies cookies.json --stealth ``` ``` --- ## ⚡ Performance Benchmarks | Metric | PPFuzz | ProtoScan | **PPMAP v4.3.2+** | |--------|--------|-----------|-------------------| | Detection Tiers | 1 | 2 | **9 (Enterprise)** | | Payloads | ~40 | ~100 | **266+** | | Scan Speed (Single) | 12s | 18s | **8s (Async)** | | Report Quality | TXT | JSON | **Interactive HTML** | | Blind Detection | ❌ | ⚠️ | ✅ **(Interact.sh)** | --- ## 📖 Documentation Hub Visit our documentation guides for: - [🚀 Installation Guide](docs/guides/QUICKSTART.md) - [⚙️ Advanced Usage & Flags](docs/guides/FEATURES.md) - [🧪 Payload Technical Specs](docs/guides/EXPLOITATION_GUIDE.md) - [📕 Complete Documentation](docs/guides/DOCUMENTATION.md) --- ## 📚 Documentation Guide | File | Purpose | Time | |------|---------|------| | **QUICKSTART.md** | 30-second setup | 30 sec | | **START_HERE_MANUAL_TESTING.txt** | Testing intro | 2 min | | **MANUAL_TESTING_CHEATSHEET.md** ⭐ | Copy-paste payloads | 5 min | | **MANUAL_TESTING_GUIDE.md** | Complete guide | 20 min | | **MANUAL_TESTING_VIDEO_GUIDE.md** | Visual tutorial | 15 min | **Recommendation:** Start with **MANUAL_TESTING_CHEATSHEET.md** for quick testing! --- ## 🏆 Key Capabilities ✅ **Clean Architecture** - Modular, SOLID-compliant engine design ✅ **Self-Healing Orchestrator** - Automatic recovery from browser crashes ✅ **Smart FP Engine** - DOM-aware validation for WAF/Sanitizer presence ✅ **Deduplicated Discovery** - Faster scanning with URL normalization ✅ **Granular Debug Mode** - Detailed tracing per scanner tier ✅ **Selenium WebDriver** - Real browser console automation ✅ **32 Detection Methods** - Comprehensive vulnerability detection ✅ **266+ Payloads** - 98%+ vector coverage ✅ **HTML/JSON Reports** - Professional reporting ✅ **Blind Detection** - Works with opaque backends ✅ **Modern Frameworks** - React 19, Next.js 15, SvelteKit ✅ **PortSwigger Techniques** - fetch(), defineProperty, child_process RCE ✅ **Async Scanning** - Fast concurrent testing ✅ **High Performance** - Static asset filtering & Browser session reuse ### 🚀 New in v4.x #### GraphQL Scanner ```python from ppmap.graphql import GraphQLScanner, scan_graphql # Quick scan results = scan_graphql("https://target.com") # Advanced usage scanner = GraphQLScanner(timeout=10) endpoint = scanner.detect_graphql_endpoint("https://target.com") if endpoint: schema = scanner.introspect_schema(endpoint) findings = scanner.test_mutation_pp(endpoint) ``` #### WebSocket扫描器 ``` from ppmap.websocket import WebSocketScanner, scan_websocket # Quick scan results = scan_websocket("wss://target.com/ws") # Advanced with Socket.IO scanner = WebSocketScanner() findings = scanner.scan_socketio("https://target.com") ``` #### SAST模式 (静态分析) ``` from ppmap.sast import SASTScanner, scan_js # Scan single file findings = scan_js("/path/to/app.js") # Scan directory scanner = SASTScanner(include_low_severity=True) findings = scanner.scan_directory("/path/to/project") report = scanner.generate_report(findings) ``` #### PPMAP即服务 (FastAPI) 将PPMAP作为REST API在后台运行，用于CI/CD集成。 ``` # Start the API server uvicorn ppmap.api.server:app --host 0.0.0.0 --port 8000 # Submit a scan job curl -X POST http://localhost:8000/api/v1/scan \ -H "Content-Type: application/json" \ -d '{"target_url": "https://target.com", "stealth": true}' ``` #### 移动应用扫描器 ``` from ppmap.mobile import MobileAppScanner, scan_mobile_app # Scan APK results = scan_mobile_app("/path/to/app.apk") # Scan IPA results = scan_mobile_app("/path/to/app.ipa") # Advanced with Frida runtime monitoring from ppmap.mobile import FridaIntegration frida = FridaIntegration("com.target.app") if frida.connect(): frida.start_monitoring() # Interact with app... findings = frida.get_findings() frida.stop() ``` ### v4.x 特性概要 - ✅ **清晰架构 (v4.4.2)**：8个模块化层级，中央编排器，标准化模型。 - ✅ **可靠性引擎 (v4.4.2)**：DOM验证、自动恢复和去重发现。 - ✅ **GraphQL原型污染扫描器**：自动检测端点、Schema内省、Mutation/Query测试 - ✅ **WebSocket原型污染扫描器**：原生WS和Socket.IO支持 - ✅ **SAST模式**：静态JS分析，15+种危险接收器，CVE映射 - ✅ **移动扫描器**：APK/IPA分析，React Native/Capacitor/Ionic检测 - ✅ **误报引擎**：二次验证，置信度评分 - ✅ **CVSS v3.1指标对齐**：客户端执行（XSS, DOM XSS, Gadget RCEs）严格映射到CVSS严重性（高/中），而非通用的严重评分。 - ✅ **性能优化**：动态工作线程扩展，资源监控 - ✅ **203个单元测试**：100%通过率 ## 🎯 覆盖的CVE (15个) - CVE-2019-11358 - jQuery原型污染 - CVE-2020-11022 - jQuery HTML预过滤器XSS - CVE-2015-9251 - jQuery CSS导入XSS - CVE-2021-44906 - minimist原型污染 - Lodash注入Gadget - Lodash _.unset / _.omit (新增 - 第2阶段) - CVE-2024-38986 - @75lb/deep-merge RCE (新增 - 第2阶段) - CVE-2020-8203 - Lodash _.merge (新增 - 第2阶段) - CVE-2022-25878 - Protobufjs parse (新增 - 第2阶段) - CVE-2022-25904 - Safe-eval (新增 - 第2阶段) - CVE-2022-25645 - Dset (新增 - 第2阶段) - CVE-2022-23631 - Blitz.js superjson RCE (新增 - 第3阶段) - RESEARCH-2024-REACT-FLIGHT - React 19 Flight协议 - RESEARCH-2024-NEXTJS-FLIGHT - Next.js Flight协议 - RESEARCH-2024-SVELTEKIT-RCE - SvelteKit Superforms - RESEARCH-2024-DEVALUE - Svelte Devalue库 - UTF-7/ISO-2022 - 字符集绕过 ## 📊 项目统计 - **版本:** 4.4.2 (企业版 - 高级WAF/CSP规避) - **代码行数:** 4,140+ - **检测方法:** 32种 - **Gadget属性:** 40个 - **CVE覆盖:** 15个 - **漏洞赏金案例:** 3个 (Kibana $10k, Elastic, Blitz.js) - **研究覆盖:** 100% (第1, 2, 3阶段) - **PortSwigger覆盖:** 100% (16/16攻击技术) - **外部研究:** pp-finder, BlackFan, Yuske, refrensi.md (23个引用) ## 📁 项目结构 ``` pentest_proto/ ├── ppmap.py # CLI Wrapper ├── ppmap/ # Modular Core Package │ ├── config/ # Configuration │ │ └── settings.py # Global CONFIG and WAF signatures │ ├── models/ # Data Models │ │ ├── findings.py # Standardized Finding dataclass │ │ └── reports.py # Metrics and telemetry │ ├── service/ # Service Layer │ │ └── scan_service.py # Primary orchestrator for CLI/API │ ├── scanner/ # Detection Engine (Modular Tiers) │ │ ├── core.py # Orchestrator │ │ ├── base.py # Abstract Base Classes │ │ ├── tier0_basic.py # jQuery, XSS, POST PP │ │ ├── tier1_blind.py # JSON Spaces, Status Override │ │ ├── tier2_framework.py # React Flight, SvelteKit, Charset │ │ ├── tier3_portswigger.py # fetch(), defineProperty, RCE │ │ ├── tier4_evasion.py # Constructor, Sanitization bypass │ │ ├── tier5_research.py # CORS, Gadgets, Storage │ │ ├── tier6_cve.py # CVE-specific payloads │ │ └── tier7_advanced.py # Deep Chain & Header Fuzzing │ ├── engine.py # Core modules (legacy compat) │ ├── browser.py # Browser Automation │ ├── log_setup.py # Logging middleware │ ├── fp_engine.py # False Positive Engine │ └── utils/ # Common utilities directory │ │ ├── __init__.py # is_static_file, print_section, etc. │ │ ├── rate_limit.py # Rate limiting logic │ │ └── retry.py # Retry decorators │ └── ... # Other specialized modules (e.g. oob.py) ├── ppmap_lab/ # Vulnerable Lab Environment (Express.js) │ ├── server.js # Lab Server │ └── start.sh # Quick Start Script ├── utils/ # Utilities & Payloads ├── reports/ # Scan Reports ├── config.example.yaml # Configuration Template ├── requirements.txt # Production Dependencies ├── requirements-dev.txt # QA and linting Tools ├── README.md # This documentation ├── QUICKSTART.md # Quick start guide └── ... ``` ## 🚀 使用示例 ### 🔍 扫描模式 (v4.3.2+) | 标志 | 模式 | 描述 | | :--- | :--- | :--- | | `--discover` | **仅侦察** | 爬取目标以发现端点和参数。不进行攻击。 | | `--scan` | **针对性** | 仅扫描提供的URL。跳过发现阶段。 | | `--scan-full` | **完整** | 发现 + 去重 + 深度扫描 (默认行为)。 | **1. 完整评估 (发现 + 扫描)：** ``` python3 ppmap.py --scan-full https://example.com/ ``` **2. 仅发现 (侦察)：** ``` python3 ppmap.py --discover https://example.com/ --max-depth 2 ``` **3. 针对性扫描 (无爬取)：** ``` python3 ppmap.py --scan https://example.com/api/v1/user?id=1 ``` ### 查看HTML报告 ``` # Reports automatically organized: reports/DOMAIN_DATE/ open reports/example_com_20260206/report_20260206_120000.html ``` ## 🎮 使用与标志指南 ### **扫描选项** | 标志 | 描述 | 示例 | |------|-------------|---------| | `--scan URL` | 对目标开始完整扫描 (所有层级 0-6) | `--scan https://target.com` | | `--poc URL` | 运行快速PoC (仅jQuery) | `--poc https://target.com` | | `--quickpoc-local URL` | 运行本地QuickPoC (Playwright/Selenium回退) | `--quickpoc-local https://target.com` | | `-ls, --list FILE` | 从文件扫描目标 (每行一个URL) | `-ls targets.txt` | | `--stdin` | 从管道读取目标 (例如来自subfinder) | `cat urls.txt \| python3 ppmap.py --scan --stdin` | | `-r, --request FILE` | 从文件扫描请求 (Burp Suite格式) | `-r req.txt` | | `--cookies FILE` | 从JSON文件加载cookies (从浏览器导出) | `--cookies cookies.json` | | `--config FILE` | 配置文件 (默认: config.yaml) | `--config custom.yaml` | ### **浏览器与性能** | 标志 | 描述 | 默认值 | |------|-------------|---------| | `--browser {chrome,firefox}` | 使用的浏览器引擎 | `chrome` | | `--headless` | 在后台运行浏览器 (无界面) | `True` | | `--no-headless` | 显示浏览器窗口 (利于调试) | `False` | | `--workers N` | 并发工作线程数 | `3` | | `--timeout N` | 请求超时时间 (秒) | `30` | | `--async-scan` | 启用实验性异步引擎 | `False` | | `--async-workers N` | 最大异步并发工作线程 | `10` | ### **隐蔽、绕过与模块** | 标志 | 描述 | 用法 | |------|-------------|-------| | `--stealth` | 启用反机器人/WAF规避模式 | `--stealth` | | `--delay N` | 请求间隔延迟 (秒) | `--delay 2` | | `--rate-limit N` | 每分钟最大请求数 | `--rate-limit 60` | | `--user-agent STR` | 自定义User-Agent字符串 | `--user-agent "MyScanner/1.0"` | | `--proxy URL` | 使用HTTP/S代理 | `--proxy http://127.0.0.1:8080` | | `--verify-ssl` | 验证SSL证书 | `--verify-ssl` | | `--insecure` | 禁用SSL证书验证 | `--insecure` | | `--oob` | 启用OOB/盲检测 (Interact.sh) | `--oob` | | `--disable-jquery-pp` | 禁用jQuery原型污染测试 | `--disable-jquery-pp` | | `--disable-xss` | 禁用XSS测试 | `--disable-xss` | | `--disable-waf-bypass` | 禁用WAF绕过测试 | `--disable-waf-bypass` | | `--disable-discovery` | 禁用端点发现 | `--disable-discovery` | | `--no-crawl` | 禁用内部URL模糊测试器 (仅扫描1个确切目标) | `--no-crawl` | | `--max-endpoints N` | 将爬虫端点限制为N个 (默认: 30) | `--max-endpoints 10` | | `--wordlist FILE` | 用于Payload模糊测试的自定义字典 | `--wordlist payloads.txt` | | `--endpoints FILE` | 强制扫描特定的API端点 | `--endpoints api_routes.txt` | | `--log-format FMT` | 结构化日志格式 (`text`, `json`) | `--log-format json` | ### **报告与工具** | 标志 | 描述 | |------|-------------| | `--output DIR` | 报告的基础目录 (默认: `reports/`)。报告自动组织到子目录: `DOMAIN_DATE/` | | `--format FMT` | 输出格式: `json`, `html`, `markdown`, `jupyter`, `csv`, `xml`, `md`, `pdf` | | `--template TPL` | HTML模板: `modern` (默认), `minimal`, 或 `detailed` | | `--no-poc` | 从报告中排除概念验证字符串 | | `--diff FILE1 FILE2` | 比较两个扫描结果文件 | | `--preset TYPE` | 使用配置预设 (`quick`, `thorough`, `stealth`) | | `--verbose`, `-v` | 详细输出 (`-v`, `-vv`, `-vvv`) | | `--version` | 显示程序版本号 | **报告组织：** 报告自动保存到目标特定的子目录： `reports/example_com_20260206/report_20260206_120000.json` ## 🔧 手动测试 用于概念验证和文档： 1. 打开浏览器控制台 (F12) 2. 使用MANUAL_TESTING_CHEATSHEET.md中的Payload 3. 复制粘贴并验证结果 4. 截图作为文档 5. 创建测试报告 参见 **MANUAL_TESTING_CHEATSHEET.md** 获取完整的Payload库。 ## ⚙️ 配置 编辑 `config.yaml` 进行自定义： - 目标URL - 超时值 - 代理设置 - 报告格式 - Payload选择 ## ⚠️ 重要注意事项 - **仅限授权测试** - 本工具用于授权的安全测试 - **禁止生产环境利用** - 不要利用生产系统 - **记录一切** - 截图作为证据 - **负责任** - 合乎道德地报告漏洞 ## 💻 要求 - Python 3.8+ - Chrome/Chromium 浏览器 - Selenium WebDriver - 参见 requirements.txt ## 🎓 学习资源 - **MANUAL_TESTING_GUIDE.md** - 完整方法论 - **ppmap.py** - 内联代码注释 - **utils/payloads.py** - Payload组织 - **hasil_deepsearch.md** - 研究背景 ## 🚀 后续步骤 1. 阅读 [QUICKSTART.md](QUICKSTART.md) (30秒) 2. 审阅 [MANUAL_TESTING_CHEATSHEET.md](MANUAL_TESTING_CHEATSHEET.md) (5分钟) 3. 运行首次扫描: `python3 ppmap.py --scan "https://target.com"` 4. 在 `report/` 文件夹中检查HTML报告 5. 使用控制台Payload手动验证 **准备好测试了吗？** 从这里开始: `python3 ppmap.py --scan "https://example.com"` ## 🧪 漏洞实验室 (ppmap_lab) 使用包含的漏洞应用程序安全地练习你的技能。 ### 设置与运行 1. 导航到实验室目录: cd ppmap_lab 2. 安装依赖: npm install 3. 启动实验室: npm start # 或者 node server.js 4. 在 `http://localhost:3000` 访问实验室 ### 对实验室进行测试 对本地实验室运行PPMAP以验证检测： ``` python3 ppmap.py --scan http://localhost:3000 ``` ## 🛠️ 辅助工具 在 `tools/` 目录中找到这些工具： | 工具 | 用途 | 用法 | 版本 | |------|---------|-------|---------| | **analyze_reports.py** | 扫描结果的统计分析 | `python3 tools/analyze_reports.py --dir report` | ✅ v4.3.2 | | **analyze_scan_results.py** | 扫描发现的深度分析与差异对比 | `python3 tools/analyze_scan_results.py --diff file1.json file2.json` | ✅ v4.3.2 | | **generate_full_report.py** | 将JSON报告合并为Markdown摘要 | `python3 tools/generate_full_report.py --dir report --title "标题"` | ✅ v4.3.2 | | **find_library_issues.py** | 扫描报告以查找库漏洞 | `python3 tools/find_library_issues.py --report-dir report` | ✅ v4.3.2 | | **quickpoc_local.py** | 本地快速PoC运行器 (Playwright/Selenium) | `python3 tools/quickpoc_local.py --target https://example.com` | ✅ v4.3.2 | | **manual_testing_interactive.py** | 用于手动测试的交互式CLI | `python3 tools/manual_testing_interactive.py` | ✅ v4.3.2 | | **organize_reports.py** | 清理和组织报告目录 | `python3 tools/organize_reports.py` | - | | **tool_template.py** | 用于构建新工具的可重用模板 | 参考实现 | ✅ 新增 | ### 🔐 安全与质量更新 (v4.3.2 第6阶段) **所有工具已强化：** - ✅ **路径遍历保护** - `analyze_scan_results.py` 验证所有文件路径 - ✅ **Markdown注入预防** - 报告中的Payload已安全转义 - ✅ **全面日志记录** - 所有工具现在都记录到 `ppmap_tools.log` - ✅ **适当的错误处理** - 特定的异常而非裸 except - ✅ **URL验证** - `quickpoc_local.py` 验证目标URL - ✅ **实验室测试** - 已在ppmap_lab上验证 (188份报告, 1000+个漏洞) **文档：** - 📋 [TOOLS_AUDIT_REPORT.md](TOOLS_AUDIT_REPORT.md) - 详细的安全审计 (434行) - 📊 [TOOLS_TESTING_REPORT.md](TOOLS_TESTING_REPORT.md) - 完整的测试验证

标签：AES-256, DOM漏洞, GraphQL安全, JavaScript安全, Next.js安全, Node.js安全, React安全, SAST, SvelteKit安全, WAF绕过, WebSocket安全, Web安全, XSS扫描, 云安全监控, 企业安全, 利用指南, 加密, 原型污染, 原型链污染, 多功能评估平台, 安全扫描工具, 安全测试, 攻击性安全, 框架安全, 浏览器自动化, 漏洞扫描器, 漏洞评估, 现代Web应用, 盲注攻击, 网络资产管理, 蓝队分析, 逆向工具, 静态分析