कुछ ऐसा जो कम से कम .js फ़ाइलों के बैच को स्केल कर सकता है, जो eval स्टेटमेंट और अन्य संदिग्ध कोड की तलाश में है। शायद सिर्फ एक रेगेक्स पैटर्न यह करेगा, लेकिन मैं एक अधिक परिष्कृत (और नियमित रूप से बनाए रखा) उपकरण खोजना चाहता हूं।जावास्क्रिप्ट सुरक्षा ऑडिटिंग के लिए सबसे अच्छा टूल क्या है?
उत्तर
क्या आपने Douglas Crockford's JSLint को आजमाया है? हालांकि यह सुरक्षा समस्याओं के लिए आपके कोड को स्कैन नहीं करता है, हालांकि, यह आपको "eval" बयान पर सतर्क करता है। ओटीओएच, प्रिड्रैग टॉमसेविक ने JavaScript Verifier based on JSLint लिखा है जिसे विजुअल स्टूडियो के साथ एकीकृत किया जा सकता है (इस here पर और पढ़ें)।
मुझे किसी भी ओपन सोर्स टूल से अवगत नहीं है जो जावास्क्रिप्ट के स्थिर विश्लेषण का संचालन करते हैं।
eval() के लिए Grepping बहुत सरल, बहुत स्पष्ट गलतियों के अलावा अन्य कुछ भी मदद करने के लिए नहीं जा रहा है। यह विश्लेषण करना और भी मुश्किल होगा कि क्या स्क्रिप्ट को कम किया गया है या obfuscated किया गया है क्योंकि यह निर्धारित करने के लिए कठोर दबाव डाला जाएगा कि तर्क सुरक्षित रूप से उपयोग किया जा रहा है या नहीं।
जावास्क्रिप्ट में बहुत सी सुरक्षा समस्याएं हैं जो डीओएम के साथ बातचीत पर भरोसा करती हैं। Eval() के लिए Grepping काम कर सकता है, लेकिन यह अन्य निष्पादन बिंदु याद करेंगे जैसे hrefs या घटना हैंडलर पर हमला किया जा सकता है, उदाहरण के लिए href = जावास्क्रिप्ट: xss या onFoo = xss। आपको वास्तव में एक ऐसा टूल चाहिए जो जावास्क्रिप्ट और डीओएम से संबंधित है, न केवल एक जावास्क्रिप्ट कंसोल।
आईबीएम/वॉचफायर ने हाल ही में एक JavaScript analyzer के बारे में एक पेपर जारी किया है जो उन्होंने बनाया है। पेपर कार्यान्वयन के बजाय परिणामों पर विवरण प्रदान करता है। एक वाणिज्यिक उपकरण ऐसा नहीं हो सकता है जिस तरह से आप जाना चाहते हैं, लेकिन कागज को अच्छी तरह से करने की चुनौतियों पर अधिक प्रकाश डालने में मदद करनी चाहिए।
+1, इसे चिह्नित करने वाला! – Anders
फेसबुक से यह टूल आशाजनक प्रतीत होता है।
पुराने विषय लेकिन नया उपकरण: ScanJS, आदेश Firefox OS सुरक्षा की जांच करने के लिए मोज़िला द्वारा विकसित। https://github.com/mozilla/scanjs
- 1. सबसे अच्छा जावास्क्रिप्ट obfuscator क्या है?
- 2. सबसे अच्छा हल्के जावास्क्रिप्ट ढांचे क्या है?
- 3. एक व्यक्ति सॉफ्टवेयर शॉप के लिए स्वचालन बनाने के लिए सबसे अच्छा टूल क्या है?
- 4. MySQL डेटाबेस सिंक्रनाइज़ करने के लिए सबसे अच्छा टूल
- 5. सबसे अच्छा जावास्क्रिप्ट संपीड़न/obfuscation उपकरण क्या है?
- 6. ऑटोलॉजीज को देखने के लिए सबसे अच्छा टूल?
- 7. क्या ग्राफविज़ इस प्रकार के ग्राफ के लिए सबसे अच्छा टूल है?
- 8. जावास्क्रिप्ट समर्थन के साथ स्क्रीन-स्क्रैप करने के लिए एक अच्छा टूल क्या है?
- 9. क्या ऐंट अभी भी जावा बिल्ड टूल के लिए सबसे अच्छा विकल्प है?
- 10. लॉग फ़ाइलों को पार्स करने के लिए सबसे अच्छा टूल क्या है?
- 11. एकाधिक फ़ाइलों पर नियमित अभिव्यक्तियों को ढूंढने और बदलने के लिए सबसे अच्छा टूल क्या है?
- 12. यूनिट परीक्षण एंड्रॉइड ऐप्स के लिए सबसे अच्छा और आसान टूल क्या है?
- 13. पायथन में व्यवहार संचालित विकास का समर्थन करने के लिए सबसे अच्छा टूल क्या है?
- 14. विंडोज के लिए सबसे अच्छा मुफ्त सी ++ प्रोफाइलर क्या है?
- 15. एक अच्छा वेब क्रॉलर टूल क्या है
- 16. सीखने (एन) एएसएम के लिए सबसे अच्छा संसाधन क्या है?
- 17. मध्यम आकार के ऑपरेशन (खुले और वाणिज्यिक) के लिए सबसे अच्छा रिपोर्टिंग टूल क्या हैं
- 18. सी ++ में क्लोन() के लिए सबसे अच्छा हस्ताक्षर क्या है?
- 19. भौगोलिक लक्ष्यीकरण के लिए सबसे अच्छा तरीका क्या है?
- 20. एक्लिप्स में उपयोग करने के लिए सबसे अच्छा जावा कोड जनरेशन टूल या प्लगइन्स क्या हैं?
- 21. वर्तमान में सबसे अच्छा HTML/CSS/जावास्क्रिप्ट कॉन्फ़िगरेशन क्या है?
- 22. सबसे अच्छा वर्तमान जावास्क्रिप्ट टेम्पलेटिंग इंजन क्या है?
- 23. सबसे अच्छा जावास्क्रिप्ट छवि प्रसंस्करण पुस्तकालय क्या है?
- 24. जावास्क्रिप्ट को शामिल करने का सबसे अच्छा तरीका क्या है?
- 25. वेबसाइट के हिस्सों के लिए सुरक्षा/अनुमतियों के लिए सबसे अच्छा डिज़ाइन क्या है - डेटा तालिका के अनुसार?
- 26. सबसे अच्छा तरीका है
- 27. एक्सएसएल फाइल बनाने के लिए सबसे अच्छा टूल कौन सा है?
- 28. आज थ्रेडेड हास्केल डीबगिंग के लिए मेरा सबसे अच्छा शर्त कौन सा टूल है?
- 29. हाइबरनेट शुरुआती के लिए सबसे अच्छा ईबुक क्या है?
- 30. सी ++ पब्लिक एपीआई के लिए सबसे अच्छा अभ्यास क्या है?
आप http://security.stackexchange.com/ पर क्यों प्रयास नहीं करते? – AviD
अब एक सुरक्षा एसई है? जीसस, इस से कैसे बने रहने की उम्मीद है। आईबीएम पेपर के लिए – Anders