jsprime

ニシャント・ダス・パトナイク（nishant.dp@）

Sarathi Sabyasachi Sahoo（Sarathisahoo@）

今日、ますます多くの開発者が言語の最初の選択としてJavaScriptに切り替えています。その理由は、単純なJavaScriptがアプリケーションの主流プログラミングとして受け入れられ始めたため、Webであろうとモバイルでも受け入れられています。クライアント側では、サーバー側でも。 JavaScriptの柔軟性とそのゆるいタイピングは、開発者にとってフレンドリーで、信じられないほどの速度でリッチなアプリケーションを作成します。 JavaScript通訳者のパフォーマンスにおける主要な進歩は、最近では、多くの組織からのスケーラビリティとスループットの問題をほぼ排除しています。したがって、ポイントはJavaScriptが私たちが今日持っている本当に重要で強力な言語であり、毎日使用されていることです。 Webアプリケーションのクライアント側のコードから、node.jsを介してサーバー側に成長し、Windows 8アプリや今後のFirefox OSアプリなどの主要なモバイルオペレーティングシステムプラットフォームにアプリケーションを作成するための適切な言語としてサポートされています。

しかし、問題は、多くの開発者が不安定なコーディングを実践し、多くのクライアントサイド攻撃につながることです。そのうちDom XSSが最も悪名高いものです。私たちはこの問題の根本的な原因を理解しようとしましたが、実際の問題を解決できる実質的に使用可能なツールが十分ではないということです。したがって、この問題を解決するための最初の試みとして、JSPRIME：JavaScript Static Analysis Toolについてお話ししたいと思います。非常に軽量で、非常に使いやすいポイントアンドクリックツールです！静的分析ツールは、Aria Hidayatによる非常に人気のあるEsprima Ecmascriptパーサーに基づいています。

以下のツールの興味深い機能のいくつかを強調したいと思います。

• JSライブラリ認識ソースとシンク
• ほとんどの動的または静的アナライザーは、JavaScriptフレームワーク/jQuery、YuiなどのJavaScriptフレームワーク/ライブラリの導入と広範なadoption以来、ほとんどの開発者にとって実際に問題であるネイティブ/純粋なJavaScriptをサポートするために開発されています。これらのスキャナーは純粋なJavaScriptをサポートするように設計されているため、ライブラリの使用と虚偽の誤った存在と誤った存在の使用のために開発されているため、これらのスキャナーは純粋なJavaScriptをサポートするために失敗します。これを解決するために、最初のリリースのために、JqueryとYuiの危険なユーザー入力ソースとコード実行シンク関数を特定し、他のフレームワークに対してユーザーが簡単に拡張できる方法について説明します。
• Variable＆Function Tracing（この機能は、コードフロー分析アルゴリズムの一部です）
• 可変＆関数範囲認識分析（この機能は、コードフロー分析アルゴリズムの一部です）
• 既知のフィルター関数認識
• OOP＆Protoype準拠
• 最小の偽陽性アラート
• Minified JavaScriptをサポートします
• 燃えるような速いパフォーマンス
• ポイントアンドクリック:-)（私の個人的なお気に入り）

今後の機能：

• ハイブリッド分析による自動コードの脱吸引と減圧（RA.2即興演奏; http://code.google.com/p/ra2-dom-xss-scanner）
• ecmascriptファミリーサポート（ActionScript 3、node.js、winjs）

• テストケース
• ソースとシンク
• ブラックハットスライド

ブラウザで「index.html」を開きます。

1. ターミナルタイプ「node server.js」
2. ブラウザで127.0.0.1:8888に移動します。