الصفحة الرئيسية>كود المصدر JSP>فئات أخرى
تنزيل

المؤلفون

نيشانت داس باتنايك (nishant.dp@)

Sarathi Sabyasachi Sahoo (sarathisahoo@)

مقدمة

اليوم ، يتحول المزيد والمزيد من المطورين إلى JavaScript كخيارهم الأول للغة. والسبب هو أن JavaScript البسيط قد تم قبوله الآن باعتباره البرمجة الرئيسية للتطبيقات ، سواء كان ذلك على الويب أو على الهاتف المحمول ؛ سواء كان ذلك على جانب العميل ، سواء كان ذلك على جانب الخادم. مرونة JavaScript وكتابها الفضفاضة ودية للمطورين لإنشاء تطبيقات غنية بسرعة لا تصدق. التقدم الرئيسي في أداء المترجمين الفوريين JavaScript ، في الأيام الأخيرة ، قد ألغيت تقريبًا مسألة قابلية التوسع والإنتاجية من العديد من المنظمات. لذا فإن النقطة هي أن JavaScript أصبحت الآن لغة مهمة وقوية حقًا لدينا اليوم وتنمو كل يوم. من التعليمات البرمجية من جانب العميل في تطبيقات الويب ، نمت إلى جانب الخادم من خلال node.js ، ويتم الآن دعمها كلغة مناسبة لكتابة تطبيقات على منصات نظام تشغيل الأجهزة المحمولة الرئيسية مثل تطبيقات Windows 8 وتطبيقات Firefox OS القادمة.

لكن المشكلة هي أن العديد من المطورين يمارسون الترميز غير الآمن الذي يؤدي إلى العديد من الهجمات الجانبية للعميل ، والتي تعتبر DOM XSS الأكثر شهرة. حاولنا أن نفهم السبب الجذري لهذه المشكلة واكتشفنا أنه لا توجد أدوات قابلة للاستخدام كافية من الناحية العملية يمكنها حل مشاكل العالم الحقيقي. وبالتالي ، كحاولتنا الأولى لحل هذه المشكلة ، نريد التحدث عن JSPrime: أداة تحليل ثابت JavaScript لبقية منا. إنها أداة خفيفة الوزن للغاية وسهلة الاستخدام للغاية لاستخدام نقطة النقر! تعتمد أداة التحليل الثابت على Esprima Ecmascript Parser من قبل Aria Hidayat.

أود تسليط الضوء على بعض الميزات المثيرة للاهتمام للأداة أدناه:

  • JS Library Aware Source and Sints
  • تم تطوير معظم المحللات الديناميكية أو الثابتة لدعم JavaScript الأصلي/النقي الذي يمثل بالفعل مشكلة بالنسبة لمعظم المطورين منذ التقديمات والتقدم الواسع في أطر JavaScript/المكتبات مثل jQuery ، و Yui ، إلخ. لحل هذا ، حددنا مصادر إدخال المستخدم الخطرة ووظائف تنفيذ التعليمات البرمجية لـ JQuery و Yui ، للإصدار الأولي وسنتحدث عن كيفية توسيع المستخدم بسهولة للأطر الأخرى.
  • تتبع المتغير والوظائف (هذه الميزة جزء من خوارزمية تحليل تدفق الكود لدينا)
  • تحليل إدراك نطاق المتغير والوظائف (هذه الميزة جزء من خوارزمية تحليل تدفق الكود لدينا)
  • وظيفة المرشح المعروفة على دراية
  • OOP و Protoype متوافق
  • الحد الأدنى من التنبيهات الإيجابية الخاطئة
  • يدعم JavaScript Minified
  • أداء سريع الأداء
  • نقطة وانقر :-) (المفضل لدي)

الميزات القادمة:

  • الكود التلقائي DE-OBFUSCATION & DECLUSSION من خلال التحليل الهجين (RA.2 الارتجال ؛ http://code.google.com/P/RA2-SOM-XSS-SCANNER)
  • دعم عائلة Ecmascript (Actionscript 3 ، Node.js ، WinJS)

الروابط

  • حالات الاختبار
  • المصادر والمصارف
  • شرائح بلاكهات

الاستخدام

عميل الويب

افتح "index.html" في متصفحك.

جانب الخادم (node.js)

  1. في النوع الطرفي "Node Server.js"
  2. انتقل إلى 127.0.0.1:8888 في متصفحك.
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل