Điều gì đó ít nhất có thể quét một loạt tệp .js tìm kiếm các câu lệnh eval và các mã có vấn đề khác. Có lẽ chỉ là một mô hình regex sẽ làm điều đó, nhưng tôi muốn tìm một công cụ tinh vi hơn (và thường xuyên duy trì).Công cụ tốt nhất để kiểm tra bảo mật Javascript là gì?
Trả lời
Bạn đã thử Douglas Crockford's JSLint chưa? Mặc dù nó không quét mã của bạn cho các vấn đề bảo mật, tuy nhiên, nó cảnh báo bạn về các câu lệnh "eval". OTOH, Predrag Tomasevic đã viết một JavaScript Verifier based on JSLint có thể được tích hợp với Visual Studio (đọc thêm về điều này here).
Tôi không biết bất kỳ công cụ Nguồn mở nào tiến hành phân tích tĩnh JavaScript.
Tham lam cho eval() có thể sẽ không giúp ích gì ngoài những lỗi rất đơn giản, rất rõ ràng. Sẽ khó phân tích hơn nếu kịch bản đã được rút gọn hoặc làm xáo trộn vì bạn sẽ bị ép cứng để xác định xem đối số đó có đang được sử dụng một cách an toàn hay không.
Có rất nhiều sự cố bảo mật trong JavaScript dựa trên tương tác với DOM. Tham chiếu cho eval() có thể hoạt động, nhưng nó sẽ bỏ lỡ các điểm thực thi khác như href hoặc trình xử lý sự kiện có thể bị tấn công, ví dụ: href = javascript: xss hoặc onFoo = xss. Bạn thực sự cần một công cụ giao dịch với JavaScript và DOM, không chỉ là một bảng điều khiển JavaScript.
IBM/Watchfire gần đây đã phát hành một bài báo về một số JavaScript analyzer mà họ đã tạo. Bài báo cung cấp chi tiết về kết quả thay vì thực hiện. Một công cụ thương mại có thể không phải là cách bạn muốn đi, nhưng bài báo sẽ giúp làm sáng tỏ những thách thức của việc làm tốt này.
+1 cho bài báo của IBM, đánh dấu điều đó! – Anders
Công cụ này từ Facebook có vẻ đầy hứa hẹn.
chủ đề cũ nhưng công cụ mới: ScanJS, được phát triển bởi mozilla để kiểm tra an ninh Firefox OS. https://github.com/mozilla/scanjs
- 1. Cách tốt nhất để kiểm tra javascript là gì?
- 2. công cụ tốt nhất để kiểm tra hồi quy hiệu suất là gì
- 3. là công cụ kiểm tra java gui tốt nhất?
- 4. Công cụ nén/obfuscation JavaScript tốt nhất là gì?
- 5. Cách tốt nhất để kiểm tra RedirectToAction là gì?
- 6. Kiểm tra bảo mật Java
- 7. Trình kiểm tra GUI tốt là gì?
- 8. Công cụ tốt để kiểm tra dịch vụ web SOAP là gì?
- 9. Công cụ tốt nhất và dễ dàng để kiểm tra đơn vị ứng dụng Android là gì?
- 10. Cách tốt nhất để bảo vệ HTML/CSS/JavaScript độc quyền là gì?
- 11. lovdbyless VS Công cụ cộng đồng ... tốt nhất là gì?
- 12. cách tốt nhất để kiểm tra loại biến trong javascript là gì
- 13. Công cụ cài đặt tốt nhất cho java là gì?
- 14. Công cụ kiểm tra mã bảo mật tự động cho Ruby
- 15. Cách tốt nhất để bảo mật chuỗi kết nối cơ sở dữ liệu là gì?
- 16. Công cụ xem xét bảo mật mã .NET
- 17. Chuỗi công cụ nhanh nhất cho Qt là gì?
- 18. Một số công cụ phát hiện bộ nhớ Javascript tốt nhất là gì?
- 19. Cách tốt nhất để tự động hóa FTP bảo mật trong PowerShell là gì?
- 20. Công cụ tốt để quét màn hình bằng hỗ trợ Javascript là gì?
- 21. Công cụ kiểm tra thâm nhập
- 22. Cách tốt nhất để kiểm tra các công cụ dòng lệnh?
- 23. Cách tốt nhất để kiểm tra các dịch vụ WCF là gì?
- 24. Công cụ hay trang web tốt để sử dụng để kiểm tra hiệu suất trang web/trang web là gì?
- 25. Khung JavaScript nhẹ tốt nhất là gì?
- 26. PHP: Cách tốt nhất để kiểm tra sự bình đẳng của $ _SERVER ['HTTP_REFERER'] là gì?
- 27. obfuscator javascript tốt nhất là gì?
- 28. Công cụ tốt để xây dựng đường ống là gì?
- 29. Công cụ tìm kiếm mã nguồn tốt là gì?
- 30. Cách tốt nhất để tìm hiểu về các chủ đề liên quan đến bảo mật lập trình là gì? (PHP)
Tại sao bạn không thử qua http://security.stackexchange.com/? – AviD
Hiện tại có SE bảo mật? Chúa ơi, làm thế nào là một trong những mong đợi để theo kịp với điều này. – Anders