jsprime

nishant das patnaik（nishant.dp@）

Sarathi Sabyasachi Sahoo（Sarathisahoo@）

如今，越來越多的開發人員將JavaScript轉換為他們的首選語言。原因是簡單的JavaScript現已開始被接受為應用程序的主流編程，無論是在網絡上還是在移動設備上；無論是在客戶端，無論是在服務器端。 JavaScript的靈活性及其鬆動打字對開發人員友好，以令人難以置信的速度創建豐富的應用程序。最近幾天，JavaScript口譯員表現的重大進步幾乎消除了許多組織的可擴展性和吞吐量問題。因此，關鍵是JavaScript現在是我們今天擁有的一種非常重要和強大的語言，它每天都在增長。從Web應用程序中的客戶端代碼增長到通過Node.js增長到服務器端，現在它作為適當的語言支持，可以在主要移動操作系統平台（例如Windows 8 Apps和即將推出的Firefox OS應用程序）上編寫應用程序。

但是問題在於，許多開發人員實踐不安全的編碼，導致許多客戶側攻擊，其中DOM XSS是最臭名昭著的。我們試圖理解此問題的根本原因，並確定的是，實際上沒有足夠的可用工具可以解決現實世界中的問題。因此，作為解決這個問題的首次嘗試，我們想談論JSPRIME：我們其他人的JavaScript靜態分析工具。這是一個非常輕巧的，非常易於使用的點擊工具！靜態分析工具基於Aria Hidayat的非常流行的Esprima Ecmascript解析器。

我想強調以下工具的一些有趣功能：

• JS庫知道來源和水槽
• 開發了大多數動態或靜態分析儀以支持本地/純JavaScript，這實際上是大多數開發人員的問題，因為介紹和對JavaScript框架/庫（如JQuery，Yui等）的廣泛介紹等，因為這些掃描儀旨在支持純JavaScript，因此由於理解了純粹的JavaScript，因此由於對圖書館和虛假遺蹟的使用而失敗，因此他們無法理解多個折線和虛假的折線，並且無法使用這些掃描。為了解決這個問題，我們已經確定了jQuery和YUI的危險用戶輸入源和代碼執行式插件功能，以供初始版本，我們將討論用戶如何輕鬆地將其擴展到其他框架中。
• 可變和功能跟踪（此功能是我們代碼流分析算法的一部分）
• 變量和功能範圍意識分析（此功能是我們代碼流分析算法的一部分）
• 已知的過濾功能知道
• OOP和Protoype符合
• 最低誤報警報
• 支持縮小的JavaScript
• 快速表現
• 點並點擊:-)（我個人的最愛）

即將到來的功能：

• 自動代碼通過混合分析（RA.2即興; http://code.google.com/p/ra2-dom--xss-scanner）通過混合分析（RA.2即興;
• Ecmascript家庭支持（ActionScript 3，Node.js，Winjs）

• 測試用例
• 來源和水槽
• Blackhat幻燈片

在瀏覽器中打開“ index.html”。

1. 在終端類型“ node server.js”中
2. 轉到瀏覽器中的127.0.0.1：8888。