jsprime

Nishant Das Patnaik (nishant.dp@)

Sarathi Sabyasachi Sahoo (Sarathisahoo@)

Heute wechseln immer mehr Entwickler als erste Sprachwahl zu JavaScript. Der Grund dafür ist, dass einfaches JavaScript als Mainstream -Programmierung für Anwendungen angenommen wurde, sei es im Web oder auf dem Handy. Sei es auf clientseitig, sei es auf der Serverseite. Die Flexibilität von JavaScript und seine lockere Typisierung sind für Entwickler freundlich, um reichhaltige Anwendungen mit unglaublicher Geschwindigkeit zu erstellen. Wichtige Fortschritte bei der Leistung von JavaScript -Dolmetschern in den letzten Tagen haben die Frage der Skalierbarkeit und des Durchsatzes von vielen Organisationen fast beseitigt. Der Punkt ist also, dass JavaScript jetzt eine wirklich wichtige und kraftvolle Sprache ist, die wir heute haben, und es wird täglich wächst. Von clientseitigem Code in Webanwendungen wurde er über node.js auf die Server-Seite gewachsen. Es wird jetzt als richtige Sprache unterstützt, um Anwendungen auf wichtigen mobilen Betriebssystemplattformen wie Windows 8 Apps und den kommenden Firefox-OS-Apps zu schreiben.

Das Problem ist jedoch, dass viele Entwickler eine unsichere Codierung praktizieren, was zu vielen Kunden -Nebenangriffen führt, aus denen Dom XSS am berüchtigtsten ist. Wir haben versucht, die Grundursache für dieses Problem zu verstehen und herauszufinden, dass es nicht genug praktisch verwendbare Tools gibt, die reale Probleme lösen können. Daher möchten wir als unser erster Versuch, dieses Problem zu lösen, über JSPRIME sprechen: ein Tool für statische Analyse von JavaScript für den Rest von uns. Es ist ein sehr leichtes und sehr einfach zu verwendenes Point-and-Click-Tool! Das statische Analyse -Tool basiert auf dem sehr beliebten Esprima ECMascript -Parser von Aria Hidayat.

Ich möchte einige der interessanten Merkmale des unten stehenden Werkzeugs hervorheben:

• JS Library Aware Source & Sinks
• Die meisten dynamischen oder statischen Analysatoren sind entwickelt, um natives/reines JavaScript zu unterstützen, das für die meisten Entwickler tatsächlich ein Problem ist, da die Einführungen und die Weitvereinigung für JavaScript-Frameworks/Bibliotheken wie JQuery, Yui usw. sind, da diese Scanner für die Unterstützung von reinen JavaScript, die den Kontext des Kontextes nicht verstehen, den Kontext der Entwicklungen und falscher Verfeinerungen und falscher Negativen und falsch-Negativen und falsch-Negativen erzeugen. Um dies zu lösen, haben wir die gefährlichen Benutzereingabenquellen und Code -Ausführungssenke für JQuery und Yui für die erste Version identifiziert, und wir werden darüber sprechen, wie Benutzer es einfach für andere Frameworks erweitern können.
• Variable- und Funktionsverfolgung (diese Funktion ist Teil unseres Codebleitungsanalyse -Algorithmus)
• Variable- und Funktionsfernrohr ARWALLE -Analyse (dieses Merkmal ist Teil unseres Codebleitungsanalyse -Algorithmus)
• Bekannte Filterfunktion bewusst
• OOP & Protoype -konform
• Minimale falsche positive Warnungen
• Unterstützt Minimed JavaScript
• Schnelle Leistung
• Punkt und Klick :-) (mein persönlicher Favorit)

Bevorstehende Funktionen:

• Automatische Code De-Obfuskation & Dekompression durch Hybridanalyse (RA.2 Improvisation; http://code.google.com/p/ra2-dom-xss-scanner)
• Unterstützung von Ecmascript Family (ActionScript 3, Node.js, WinJs)

• Testfälle
• Quellen & Senken
• Blackhat gleitet

Öffnen Sie "index.html" in Ihrem Browser.

1. Im Terminaltyp "node server.js"
2. Gehen Sie in Ihrem Browser zu 127.0.0.1:8888.