2011-01-05 5 views
13

최소한 .js 파일의 배치를 검사하여 eval 문과 기타 의심스러운 코드를 찾는 것. 어쩌면 정규식 패턴을 사용하는 것이 좋지만 더 정교한 (그리고 정기적으로 유지 관리되는) 도구를 찾고 싶습니다.Javascript 보안 감사를위한 가장 좋은 도구는 무엇입니까?

+0

http://security.stackexchange.com/에서 다시 시도하지 않으시겠습니까? – AviD

+1

보안 SE가 있습니까? 예수님, 어떻게이 일에 계속 전념 할 것으로 기대하십니까? – Anders

답변

1

저는 자바 스크립트의 정적 분석을 수행하는 오픈 소스 도구에 대해 알지 못합니다.

eval()을 그릴 때 매우 단순하고 명백한 오류 이외의 다른 도움이되지 않을 가능성이 높습니다. 인수가 안전하게 사용되는지 여부를 판단하기가 어려울 것이므로 스크립트가 축소되거나 난독 화되었는지 분석하는 것이 훨씬 더 어려울 것입니다.

JavaScript와 관련하여 DOM과의 상호 작용에 의존하는 보안 문제가 많이 있습니다. eval()을위한 grepping이 작동 할 수도 있지만 공격을받을 수있는 hrefs 또는 이벤트 핸들러와 같은 다른 실행 포인트를 놓치게됩니다. href = javascript : xss 또는 onFoo = xss. JavaScript 콘솔뿐만 아니라 JavaScript와 DOM을 다루는 도구가 정말로 필요합니다.

IBM/Watchfire에서 최근 작성한 JavaScript analyzer에 대한 논문을 발표했습니다. 이 백서는 구현보다는 결과에 대한 세부 정보를 제공합니다. 상업적 도구가 원하는 방식이 아닐 수도 있지만,이 문서는이 작업을 수행하는 데 어려움을 겪을 때 더 많은 도움이 될 것입니다.

+0

+1을 IBM 종이에 표시하면됩니다. – Anders

관련 문제