jsprime

nishant das patnaik（nishant.dp@）

Sarathi Sabyasachi Sahoo（Sarathisahoo@）

如今，越来越多的开发人员将JavaScript转换为他们的首选语言。原因是简单的JavaScript现已开始被接受为应用程序的主流编程，无论是在网络上还是在移动设备上；无论是在客户端，无论是在服务器端。 JavaScript的灵活性及其松动打字对开发人员友好，以令人难以置信的速度创建丰富的应用程序。最近几天，JavaScript口译员表现的重大进步几乎消除了许多组织的可扩展性和吞吐量问题。因此，关键是JavaScript现在是我们今天拥有的一种非常重要和强大的语言，它每天都在增长。从Web应用程序中的客户端代码增长到通过Node.js增长到服务器端，现在它作为适当的语言支持，可以在主要移动操作系统平台（例如Windows 8 Apps和即将推出的Firefox OS应用程序）上编写应用程序。

但是问题在于，许多开发人员实践不安全的编码，导致许多客户侧攻击，其中DOM XSS是最臭名昭著的。我们试图理解此问题的根本原因，并确定的是，实际上没有足够的可用工具可以解决现实世界中的问题。因此，作为解决这个问题的首次尝试，我们想谈论JSPRIME：我们其他人的JavaScript静态分析工具。这是一个非常轻巧的，非常易于使用的点击工具！静态分析工具基于Aria Hidayat的非常流行的Esprima Ecmascript解析器。

我想强调以下工具的一些有趣功能：

• JS库知道来源和水槽
• 开发了大多数动态或静态分析仪以支持本地/纯JavaScript，这实际上是大多数开发人员的问题，因为介绍和对JavaScript框架/库（如JQuery，Yui等）的广泛介绍等，因为这些扫描仪旨在支持纯JavaScript，因此由于理解了纯粹的JavaScript，因此由于对图书馆和虚假遗迹的使用而失败，因此他们无法理解多个折线和虚假的折线，并且无法使用这些扫描。为了解决这个问题，我们已经确定了jQuery和YUI的危险用户输入源和代码执行式插件功能，以供初始版本，我们将讨论用户如何轻松地将其扩展到其他框架中。
• 可变和功能跟踪（此功能是我们代码流分析算法的一部分）
• 变量和功能范围意识分析（此功能是我们代码流分析算法的一部分）
• 已知的过滤功能知道
• OOP和Protoype符合
• 最低误报警报
• 支持缩小的JavaScript
• 快速表现
• 点并点击:-)（我个人的最爱）

即将到来的功能：

• 自动代码通过混合分析（RA.2即兴; http://code.google.com/p/ra2-dom--xss-scanner）通过混合分析（RA.2即兴;
• Ecmascript家庭支持（ActionScript 3，Node.js，Winjs）

• 测试用例
• 来源和水槽
• Blackhat幻灯片

在浏览器中打开“ index.html”。

1. 在终端类型“ node server.js”中
2. 转到浏览器中的127.0.0.1：8888。