jsprime

Nishant Das Patnaik (nishant.dp @)

Sarathi Sabyasachi Sahoo (Sarathisahoo @)

Aujourd'hui, de plus en plus de développeurs passent à JavaScript comme premier choix de langue. La raison en est que JavaScript simple a été créé pour être accepté comme la programmation grand public pour les applications, que ce soit sur le Web ou sur le mobile; Que ce soit à côté du client, que ce soit du côté du serveur. La flexibilité JavaScript et son typage lâche sont conviviales pour les développeurs pour créer des applications riches à une vitesse incroyable. Les principales progrès dans la performance des interprètes JavaScript, ces derniers jours, ont presque éliminé la question de l'évolutivité et du débit de nombreuses organisations. Donc, le fait est que JavaScript est maintenant une langue vraiment importante et puissante que nous avons aujourd'hui et son utilisation augmente tous les jours. À partir du code côté client dans les applications Web, il est devenu côté serveur via Node.js et il est maintenant pris en charge comme un langage approprié pour écrire des applications sur les principales plates-formes de système d'exploitation mobiles comme Windows 8 Apps et les prochaines applications Firefox OS.

Mais le problème est que de nombreux développeurs pratiquent un codage peu sûr qui conduit à de nombreuses attaques secondaires du client, dont DOM XSS est la plus tristement célèbre. Nous avons essayé de comprendre la cause profonde de ce problème et nous avons compris qu'il n'y a pas suffisamment d'outils pratiquement utilisables qui peuvent résoudre des problèmes réels. Par conséquent, comme notre première tentative de résolution de ce problème, nous voulons parler de JSprime: un outil d'analyse statique JavaScript pour le reste d'entre nous. C'est un outil très léger et très facile à utiliser! L'outil d'analyse statique est basé sur l'analyseur ESPRIMA ECMAScript très populaire par Aria Hidayat.

Je voudrais souligner certaines des fonctionnalités intéressantes de l'outil ci-dessous:

• JS Bibliothèque Source et évier
• La plupart des analyseurs dynamiques ou statiques sont développés pour prendre en charge le JavaScript natif / pur, ce qui est en fait un problème pour la plupart des développeurs depuis les introductions et la large adoption pour les frameworks / bibliothèques JavaScript comme JQuery, YUI, etc. Étant donné que ces scanners sont conçus pour prendre en charge le javascript pur, ils échouent à comprendre le contexte du développement dû à l'utilisation des bibliothèques et de nombreux faux points et de faux-negres. Pour résoudre ce problème, nous avons identifié les fonctions de saisie des utilisateurs dangereuses et les fonctions d'évier d'exécution de code pour jQuery et YUI, pour la version initiale et nous parlerons de la façon dont les utilisateurs peuvent facilement l'étendre pour d'autres frameworks.
• Traçage des variables et des fonctions (cette fonctionnalité fait partie de notre algorithme d'analyse de flux de code)
• Analyse de conscience des variables et des fonctions (cette fonctionnalité fait partie de notre algorithme d'analyse de flux de code)
• Fonction de filtre connue
• OOP & Protoype conforme
• Alertes minimales faussement positives
• Prend en charge JavaScript minifié
• Blazing Fast Performance
• Point et clic :-) (mon préféré)

Fonctionnalités à venir:

• DÉ-OBFUSCATION ET DÉCOMPRESSION CODE AUTOMATIQUE À L'ANALYSE HYBRIDE (RA.2 Improvisation; http://code.google.com/p/ra2-dom-xsss-scanner)
• Support de la famille Ecmascript (ActionScript 3, Node.js, Winjs)

• Cas de test
• Sources et éviers
• Blackhat diapositives

Ouvrez "index.html" dans votre navigateur.

1. Dans le type de terminal "Node Server.js"
2. Accédez à 127.0.0.1:8888 dans votre navigateur.