jsprime

Nishant Das Patnaik (Nishant.dp@)

Sarathi Sabyasachi Sahoo (Sarathisahoo@)

Hoje, mais e mais desenvolvedores estão mudando para o JavaScript como sua primeira escolha de linguagem. O motivo é que o JavaScript simples já foi aceito como a programação convencional para aplicativos, seja na web ou no celular; Seja no lado do cliente, seja no lado do servidor. A flexibilidade do JavaScript e sua digitação solta são amigáveis ​​para os desenvolvedores para criar aplicativos ricos a uma velocidade inacreditável. Os principais avanços no desempenho dos intérpretes de JavaScript, nos últimos dias, quase eliminaram a questão da escalabilidade e da taxa de transferência de muitas organizações. Portanto, o ponto é que o JavaScript agora é uma linguagem realmente importante e poderosa que temos hoje e é o uso do crescimento todos os dias. Do código do lado do cliente em aplicativos da Web, ele cresceu ao lado do servidor através do Node.js e agora é suportado como linguagem adequada para escrever aplicativos nas principais plataformas de sistemas operacionais móveis, como o Windows 8 e os próximos aplicativos Firefox OS.

Mas o problema é que muitos desenvolvedores praticam codificação insegura, o que leva a muitos ataques laterais do cliente, dos quais o DOM XSS é o mais infame. Tentamos entender a causa raiz desse problema e descobrimos que não existem ferramentas praticamente utilizáveis ​​o suficiente que podem resolver problemas no mundo real. Portanto, como nossa primeira tentativa de resolver esse problema, queremos falar sobre o JSPrime: uma ferramenta de análise estática JavaScript para o resto de nós. É uma ferramenta muito leve e muito fácil de usar e clicar! A ferramenta de análise estática é baseada no analisador Esprima Ecmascript muito popular de Aria Hidayat.

Eu gostaria de destacar alguns dos recursos interessantes da ferramenta abaixo:

• JS Biblioteca ciente da fonte e pias
• A maioria dos analisadores dinâmicos ou estáticos são desenvolvidos para suportar JavaScript nativo/puro, que na verdade é um problema para a maioria dos desenvolvedores, desde as introduções e ampla adoção para estruturas/bibliotecas JavaScript, como JQuery, Yui etc., pois esses scanners são projetados para apoiar o Javascript puro, que falham no contexto do desenvolvimento devido ao USAGE de USage. Para resolver isso, identificamos as fontes perigosas de entrada do usuário e as funções de execução de código para JQuery e Yui, para a versão inicial e falaremos sobre como os usuários podem estendê -lo facilmente para outras estruturas.
• Rastreamento de variáveis ​​e funções (esse recurso faz parte do nosso algoritmo de análise de fluxo de código)
• Análise Variável e Escopo da Função (esse recurso faz parte do nosso algoritmo de análise de fluxo de código)
• Função de filtro conhecida ciente
• OOP & Protoype compatível
• Alertas mínimos de falsos positivos
• Suporta JavaScript minificado
• Buscando desempenho rápido
• Aponte e clique :-) (meu favorito)

Próximos recursos:

• Descuscação automática de código e descompressão por meio de análise híbrida (improvisação do ra.2; http://code.google.com/p/ra2-dom-xss-scanner)
• Suporte da família Ecmascript (ActionScript 3, Node.js, WinJS)

• Casos de teste
• Fontes e pias
• Blackhat desliza

Abra "index.html" no seu navegador.

1. No tipo de terminal "Node Server.js"
2. Vá para 127.0.0.1:8888 no seu navegador.