Что-то, что может, по крайней мере, сканировать пакет .js-файлов, ищущих утверждения eval и другие сомнительные коды. Возможно, это будет только шаблон регулярного выражения, но я бы хотел найти более сложный (и регулярно поддерживаемый) инструмент.Какой лучший инструмент для проверки безопасности Javascript?
ответ
Вы попробовали Douglas Crockford's JSLint? Однако, несмотря на то, что он не сканирует ваш код на проблемы с безопасностью, он предупреждает вас об операторах «eval». OTOH, Predrag Tomasevic написал JavaScript Verifier based on JSLint, который может быть интегрирован с Visual Studio (подробнее об этом here).
Мне не известны никакие инструменты с открытым исходным кодом, которые проводят статический анализ JavaScript.
Grepping for eval(), вероятно, не поможет ни на чем, кроме очень простых, очень очевидных ошибок. Будет еще сложнее проанализировать, был ли скрипт миниатюризирован или запутан, потому что вам будет сложно определить, используется ли аргумент безопасно или нет.
В JavaScript существует множество проблем с безопасностью, которые полагаются на взаимодействие с DOM. Grepping для eval() может работать, но он пропустит другие точки выполнения, такие как hrefs или обработчики событий, которые могут быть атакованы, например. href = javascript: xss или onFoo = xss. Вам действительно нужен инструмент, который имеет дело с JavaScript и DOM, а не только с консолью JavaScript.
IBM/Watchfire недавно выпустила статью о создании JavaScript analyzer. В документе приводится подробная информация о результатах, а не о реализации. Коммерческий инструмент может быть не таким, как вы хотите, но документ должен помочь пролить свет на проблемы, связанные с этим.
+1 для бумаги IBM, отметьте это! – Anders
Этот инструмент из Facebook кажется многообещающим.
старая тема, но новый инструмент: ScanJS, разработанный Mozilla для проверки безопасности Firefox OS. https://github.com/mozilla/scanjs
- 1. Инструмент проверки безопасности .NET Code
- 2. Какой лучший инструмент для интеграции данных
- 3. Какой лучший инструмент для диаграмм UML?
- 4. Какой лучший инструмент для разработки приложений Blackberry?
- 5. Какой лучший инструмент для тестирования нагрузки?
- 6. Какой лучший инструмент для установки java?
- 7. Какой лучший инструмент для трехстороннего слияния?
- 8. Какой лучший инструмент для установки MSI?
- 9. Какой лучший инструмент для создания отчетов?
- 10. Какой лучший инструмент для мониторинга веб-приложений?
- 11. Какой лучший бесплатный инструмент для моделирования ER?
- 12. Какой лучший способ/инструмент для аналитики sharepoint?
- 13. GUI Инструмент для проверки javascript
- 14. Инструмент сканирования безопасности SVN
- 15. Какой лучший инструмент для автоматизации браузера для Python?
- 16. инструмент для проверки кода
- 17. Инструмент для проверки масштабируемости
- 18. лучший инструмент для проверки информационного бюллетеня в HTML
- 19. Какой лучший новый инструмент разработки 2009 года?
- 20. Какой инструмент вы используете для отладки Javascript?
- 21. Онлайн-инструмент для проверки файла javascript
- 22. Какой лучший инструмент для анализа статического кода для Android-проекта?
- 23. Какой лучший инструмент для Windows для объединения RSS-каналов?
- 24. Какой лучший инструмент для графического интерфейса для приложений J2ME
- 25. Какой лучший инструмент для веб-тестирования вы нашли для C#?
- 26. Какой лучший инструмент для python для простого редактирования видео?
- 27. Какой лучший инструмент для визуального слияния для Git?
- 28. Какой лучший инструмент для статического анализа для NetBeans 6.1?
- 29. Какой лучший инструмент для рисования для asp.net/.net
- 30. Лучший инструмент для проверки кода для большой пользовательской базы?
Почему бы вам не попробовать на http://security.stackexchange.com/? – AviD
Есть SE системы безопасности сейчас? Иисус, как следует ожидать этого. – Anders