jsprime

Nishant Das Patnaik (nishant.dp@)

Sarathi Sabyasachi Sahoo (Sarathisahoo@)

Saat ini, semakin banyak pengembang beralih ke JavaScript sebagai pilihan bahasa pertama mereka. Alasannya adalah JavaScript sederhana sekarang telah mulai diterima sebagai pemrograman arus utama untuk aplikasi, baik di web atau di ponsel; Baik itu di sisi klien, baik itu di sisi server. Fleksibilitas JavaScript dan pengetikannya yang longgar ramah kepada pengembang untuk membuat aplikasi yang kaya dengan kecepatan yang tidak dapat dipercaya. Kemajuan besar dalam kinerja penerjemah JavaScript, dalam beberapa hari terakhir, hampir menghilangkan pertanyaan tentang skalabilitas dan throughput dari banyak organisasi. Jadi intinya adalah JavaScript sekarang adalah bahasa yang sangat penting dan kuat yang kita miliki saat ini dan penggunaannya tumbuh setiap hari. Dari kode sisi klien dalam aplikasi web itu tumbuh ke sisi server melalui node.js dan sekarang didukung sebagai bahasa yang tepat untuk menulis aplikasi pada platform sistem operasi seluler utama seperti aplikasi Windows 8 dan aplikasi Firefox OS yang akan datang.

Tetapi masalahnya adalah, banyak pengembang mempraktikkan pengkodean tidak aman yang mengarah pada banyak serangan sisi klien, dari mana Dom XSS adalah yang paling terkenal. Kami mencoba memahami akar penyebab masalah ini dan mengetahui bahwa tidak ada cukup alat yang dapat digunakan secara praktis yang dapat menyelesaikan masalah dunia nyata. Oleh karena itu sebagai upaya pertama kami untuk menyelesaikan masalah ini, kami ingin berbicara tentang JSPrime: alat analisis statis JavaScript untuk kita semua. Ini adalah alat point-and-klik yang sangat ringan dan sangat mudah digunakan! Alat analisis statis didasarkan pada Esprima Ecmascript Parser yang sangat populer oleh Aria Hidaya.

Saya ingin menyoroti beberapa fitur menarik dari alat di bawah ini:

• JS Library Sadar Sumber & Sinks
• Sebagian besar penganalisa dinamis atau statis dikembangkan untuk mendukung javascript asli/murni yang sebenarnya merupakan masalah bagi sebagian besar pengembang karena perkenalan dan adopsi lebar untuk kerangka kerja/perpustakaan JavaScript seperti JQuery, Yui dll. Karena pemindai ini dirancang untuk mendukung javascript murni, mereka gagal dalam memahami konteks pengembangan karena penggunaan perpustakaan dan pemindai false. Untuk menyelesaikan ini, kami telah mengidentifikasi sumber input pengguna yang berbahaya dan fungsi wastafel eksekusi kode untuk jQuery dan YUI, untuk rilis awal dan kami akan berbicara tentang bagaimana pengguna dapat dengan mudah memperpanjangnya untuk kerangka kerja lainnya.
• Penelusuran Variabel & Fungsi (fitur ini adalah bagian dari algoritma analisis aliran kode kami)
• Analisis Sadar Lingkup Variabel & Fungsi (fitur ini adalah bagian dari algoritma analisis aliran kode kami)
• Fungsi filter yang dikenal sadar
• OOP & PROTOYPE sesuai
• Peringatan positif palsu minimum
• Mendukung JavaScript Minified
• Performa cepat menyala
• Point and Click :-) (favorit pribadi saya)

Fitur yang akan datang:

• Kode Otomatis De-Obfuscation & Decompression melalui Analisis Hybrid (RA.2 Improvisasi; http://code.google.com/p/ra2-dom-xss-Scanner)
• Dukungan Keluarga Ecmascript (ActionScript 3, Node.js, WINJS)

• Kasus uji
• Sumber & Wastafel
• Blackhat Slide

Buka "index.html" di browser Anda.

1. Di terminal tipe "Node Server.js"
2. Pergi ke 127.0.0.1:8888 di browser Anda.