जावास्क्रिप्ट सुरक्षा ऑडिटिंग के लिए सबसे अच्छा टूल क्या है?

Question

कुछ ऐसा जो कम से कम .js फ़ाइलों के बैच को स्केल कर सकता है, जो eval स्टेटमेंट और अन्य संदिग्ध कोड की तलाश में है। शायद सिर्फ एक रेगेक्स पैटर्न यह करेगा, लेकिन मैं एक अधिक परिष्कृत (और नियमित रूप से बनाए रखा) उपकरण खोजना चाहता हूं।

Answer 1

क्या आपने Douglas Crockford's JSLint को आजमाया है? हालांकि यह सुरक्षा समस्याओं के लिए आपके कोड को स्कैन नहीं करता है, हालांकि, यह आपको "eval" बयान पर सतर्क करता है। ओटीओएच, प्रिड्रैग टॉमसेविक ने JavaScript Verifier based on JSLint लिखा है जिसे विजुअल स्टूडियो के साथ एकीकृत किया जा सकता है (इस here पर और पढ़ें)।

Answer 2

मुझे किसी भी ओपन सोर्स टूल से अवगत नहीं है जो जावास्क्रिप्ट के स्थिर विश्लेषण का संचालन करते हैं।

eval() के लिए Grepping बहुत सरल, बहुत स्पष्ट गलतियों के अलावा अन्य कुछ भी मदद करने के लिए नहीं जा रहा है। यह विश्लेषण करना और भी मुश्किल होगा कि क्या स्क्रिप्ट को कम किया गया है या obfuscated किया गया है क्योंकि यह निर्धारित करने के लिए कठोर दबाव डाला जाएगा कि तर्क सुरक्षित रूप से उपयोग किया जा रहा है या नहीं।

जावास्क्रिप्ट में बहुत सी सुरक्षा समस्याएं हैं जो डीओएम के साथ बातचीत पर भरोसा करती हैं। Eval() के लिए Grepping काम कर सकता है, लेकिन यह अन्य निष्पादन बिंदु याद करेंगे जैसे hrefs या घटना हैंडलर पर हमला किया जा सकता है, उदाहरण के लिए href = जावास्क्रिप्ट: xss या onFoo = xss। आपको वास्तव में एक ऐसा टूल चाहिए जो जावास्क्रिप्ट और डीओएम से संबंधित है, न केवल एक जावास्क्रिप्ट कंसोल।

आईबीएम/वॉचफायर ने हाल ही में एक JavaScript analyzer के बारे में एक पेपर जारी किया है जो उन्होंने बनाया है। पेपर कार्यान्वयन के बजाय परिणामों पर विवरण प्रदान करता है। एक वाणिज्यिक उपकरण ऐसा नहीं हो सकता है जिस तरह से आप जाना चाहते हैं, लेकिन कागज को अच्छी तरह से करने की चुनौतियों पर अधिक प्रकाश डालने में मदद करनी चाहिए।

Answer 3

फेसबुक से यह टूल आशाजनक प्रतीत होता है।

https://github.com/facebook/jsgrep

Answer 4

पुराने विषय लेकिन नया उपकरण: ScanJS, आदेश Firefox OS सुरक्षा की जांच करने के लिए मोज़िला द्वारा विकसित। https://github.com/mozilla/scanjs