jsprime

Nishant Das Patnaik (nishant.dp@)

Sarathi Sabyasachi Sahoo (Sarathisahoo@)

Hoy, cada vez más desarrolladores cambian a JavaScript como su primera opción de lenguaje. La razón es que JavaScript simple se ha comenzado a ser aceptado como la programación convencional para aplicaciones, ya sea en la web o en el móvil; Ya sea en el lado del cliente, ya sea en el lado del servidor. La flexibilidad de JavaScript y su escritura suelta son amigables para los desarrolladores para crear aplicaciones ricas a una velocidad increíble. Los principales avances en el desempeño de los intérpretes de JavaScript, en los últimos días, casi han eliminado la cuestión de la escalabilidad y el rendimiento de muchas organizaciones. Entonces, el punto es que JavaScript ahora es un lenguaje realmente importante y poderoso que tenemos hoy y su uso que crece todos los días. Desde el código del lado del cliente en aplicaciones web, creció hasta el lado del servidor a través de Node.js y ahora es compatible como un lenguaje adecuado para escribir aplicaciones en las principales plataformas de sistemas operativos móviles como las aplicaciones de Windows 8 y las próximas aplicaciones del sistema operativo Firefox.

Pero el problema es que muchos desarrolladores practican la codificación insegura que conduce a muchos ataques laterales del cliente, de los cuales DOM XSS es el más infame. Intentamos comprender la causa raíz de este problema y descubrir es que no hay suficientes herramientas prácticamente utilizables que puedan resolver problemas del mundo real. Por lo tanto, como nuestro primer intento de resolver este problema, queremos hablar sobre JSPrime: una herramienta de análisis estático JavaScript para el resto de nosotros. ¡Es una herramienta muy liviana y muy fácil de usar! La herramienta de análisis estático se basa en el muy popular analizador Ecmascript de Aria Hidayat.

Me gustaría resaltar algunas de las características interesantes de la herramienta a continuación:

• JS Biblioteca consciente de la biblioteca Fuente y sumideros
• La mayoría de los analizadores dinámicos o estáticos se desarrollan para admitir JavaScript nativo/puro, que en realidad es un problema para la mayoría de los desarrolladores, ya que las presentaciones y la adopción de amplia adopción para los marcos/bibliotecas de JavaScript como jQuery, yui, etc. Dado que estos escáneres están diseñados para apoyar a JavaScript puro, fallan en comprender el contexto del desarrollo debido al uso de bibliotecas y producen muchos falsos positivos y falsos negentes. Para resolver esto, hemos identificado las peligrosas fuentes de entrada del usuario y las funciones del sumidero de ejecución de código para JQuery y YUI, para la versión inicial y hablaremos sobre cómo los usuarios pueden extenderlo fácilmente para otros marcos.
• Rastreo variable y de función (esta característica es parte de nuestro algoritmo de análisis de flujo de código)
• Análisis consciente de alcance variable y funcional (esta característica es parte de nuestro algoritmo de análisis de flujo de código)
• Función de filtro conocida consciente
• OOP y Protoype cumplido
• Alertas mínimas de falsos positivos
• Admite JavaScript minificado
• Rendimiento rápido y ardiente
• Punto y haga clic :-) (mi favorito personal)

Próximas características:

• Código automático De-Obfuscation & Decompression a través del análisis híbrido (improvisación RA.2; http://code.google.com/p/ra2-dom-xsssssscanner)
• Soporte familiar de ECMAScript (ActionScript 3, Node.js, WinJS)

• Casos de prueba
• Fuentes y sumideros
• Diapositivas de Blackhat

Abra "index.html" en su navegador.

1. En el tipo de terminal "Node Server.js"
2. Vaya a 127.0.0.1:8888 en su navegador.