jsprime

Nishant Das Patnaik (nishant.dp@)

Sarathi Sabyasachi Sahoo (sarathisahoo@)

Сегодня все больше и больше разработчиков переходят на JavaScript в качестве своего первого выбора языка. Причина в том, что простой JavaScript теперь стал приниматься в качестве основного программирования для приложений, будь то в Интернете или на мобильном телефоне; Будь то на стороне клиента, будь то на стороне сервера. Гибкость JavaScript и ее свободная набор для разработчиков дружелюбны для создания богатых приложений с невероятной скоростью. В последние дни основные достижения в области эффективности переводчиков JavaScript почти устранили вопрос о масштабируемости и пропускной способности многих организаций. Таким образом, дело в том, что JavaScript теперь действительно важный и мощный язык, который у нас есть сегодня, и это используется каждый день. От кода на стороне клиента в веб-приложениях он вырос до сервера через node.js, и теперь он поддерживается как правильный язык для записи приложений на основных платформах мобильной операционной системы, таких как приложения Windows 8 и предстоящие приложения ОС Firefox.

Но проблема в том, что многие разработчики практикуют небезопасное кодирование, которое приводит ко многим атакам на стороне клиента, из которых DOM XSS является наиболее печально известным. Мы пытались понять основную причину этой проблемы и выяснили, что практически не хватает практически пригодных для использования инструментов, которые могут решить реальные проблемы. Следовательно, как наша первая попытка решить эту проблему, мы хотим поговорить о JSPrime: инструмент статического анализа JavaScript для всех нас. Это очень легкий и очень прост в использовании инструмента «Point and Click»! Статический инструмент анализа основан на очень популярном анализаторе Esprima Ecmascript от Aria Hidayat.

Я хотел бы выделить некоторые из интересных функций инструмента ниже:

• JS Library осведомленное источник и раковины
• Большинство динамичных или статических анализаторов разработаны для поддержки нативного/чистого JavaScript, который на самом деле является проблемой для большинства разработчиков с момента введения и широкого обеда в рамках/библиотеках JavaScript, таких как JQUERY, YUI и т. Д. Поскольку эти сканеры предназначены для поддержки чистых JavaScript, они терпят неудачу в контексте развития из-за использования библиотек и создают множество ложных и ложно-экологически чистых. Чтобы решить это, мы определили опасные источники ввода пользователя и функции погружения в выполнение кода для JQUERY и YUI, для первоначального выпуска, и мы поговорим о том, как пользователи могут легко расширить его для других фреймворков.
• Трассировка переменной и функций (эта функция является частью нашего алгоритма анализа потока кода)
• Анализ по сфере сферы действия переменных и функций (эта функция является частью нашего алгоритма анализа потока кода)
• Известная функция фильтра осведомлена
• ООП и протоип
• Минимальные ложные оповещения
• Поддерживает минимизированный JavaScript
• Прокачание быстрой производительности
• Точка и нажмите :-) (мой личный фаворит)

Предстоящие функции:

• Автоматический код де-сэмпрессия и декомпрессия с помощью гибридного анализа (RA.2 Импровизация; http://code.google.com/p/ra2-dom-xss-canner)
• Поддержка семьи Ecmascript (ActionScript 3, node.js, Winjs)

• Тестовые случаи
• Источники и раковины
• Блэкхат слайды

Откройте "index.html" в вашем браузере.

1. В типе терминала "Node Server.js"
2. Зайдите в 127.0.0.1:8888 в вашем браузере.