최소한 .js 파일의 배치를 검사하여 eval 문과 기타 의심스러운 코드를 찾는 것. 어쩌면 정규식 패턴을 사용하는 것이 좋지만 더 정교한 (그리고 정기적으로 유지 관리되는) 도구를 찾고 싶습니다.Javascript 보안 감사를위한 가장 좋은 도구는 무엇입니까?
답변
Douglas Crockford's JSLint을 사용해 보셨습니까? 그러나 보안 문제에 대해 코드를 검사하지는 않지만 "eval"문에 대해 경고합니다. OTOH, Predrag Tomasevic은 Visual Studio와 통합 할 수있는 JavaScript Verifier based on JSLint을 작성했습니다 (자세한 내용은 here 참조).
저는 자바 스크립트의 정적 분석을 수행하는 오픈 소스 도구에 대해 알지 못합니다.
eval()을 그릴 때 매우 단순하고 명백한 오류 이외의 다른 도움이되지 않을 가능성이 높습니다. 인수가 안전하게 사용되는지 여부를 판단하기가 어려울 것이므로 스크립트가 축소되거나 난독 화되었는지 분석하는 것이 훨씬 더 어려울 것입니다.
JavaScript와 관련하여 DOM과의 상호 작용에 의존하는 보안 문제가 많이 있습니다. eval()을위한 grepping이 작동 할 수도 있지만 공격을받을 수있는 hrefs 또는 이벤트 핸들러와 같은 다른 실행 포인트를 놓치게됩니다. href = javascript : xss 또는 onFoo = xss. JavaScript 콘솔뿐만 아니라 JavaScript와 DOM을 다루는 도구가 정말로 필요합니다.
IBM/Watchfire에서 최근 작성한 JavaScript analyzer에 대한 논문을 발표했습니다. 이 백서는 구현보다는 결과에 대한 세부 정보를 제공합니다. 상업적 도구가 원하는 방식이 아닐 수도 있지만,이 문서는이 작업을 수행하는 데 어려움을 겪을 때 더 많은 도움이 될 것입니다.
+1을 IBM 종이에 표시하면됩니다. – Anders
Facebook의이 도구는 유망한 것으로 보입니다.
오래된 주제하지만 새로운 도구 : 파이어 폭스 OS의 보안을 확인하기 위해 모질라가 개발 ScanJS. https://github.com/mozilla/scanjs
- 1. 공유 분석을위한 가장 좋은 방법/도구는 무엇입니까?
- 2. Linux에서 가장 좋은 UML 설계 도구는 무엇입니까?
- 3. EXIF 데이터를 얻는 가장 좋은 도구는 무엇입니까?
- 4. VB에서 단위 테스트를위한 가장 좋은 도구는 무엇입니까?
- 5. 추적 기능을 유지하는 가장 좋은 도구는 무엇입니까
- 6. 보안 아키텍처를 만드는 가장 좋은 방법은 무엇입니까?
- 7. 웹 서비스 보안 - 가장 좋은 옵션은 무엇입니까?
- 8. 메시지보기에 가장 적합한 도구는 무엇입니까?
- 9. Asp.net SQL에서 감사를위한 최선의 방법은 무엇입니까
- 10. Java 확장 프로그램을 만드는 가장 좋은 도구는 무엇입니까?
- 11. 이 프로젝트 아이디어에 내가 사용하는 가장 좋은 도구는 무엇입니까?
- 12. 이 API 디자인을 구현하는 가장 좋은 도구는 무엇입니까?
- 13. Java에서 구분 된 텍스트 파일을 쿼리하는 가장 좋은 도구는 무엇입니까?
- 14. 큰 상속 코드 조각을 그릴 수있는 가장 좋은 도구는 무엇입니까?
- 15. 웹 사이트를 긁는 가장 좋은 방법이나 도구는 무엇입니까?
- 16. PyGTK에서 시간을 입력하는 데 가장 좋은 도구는 무엇입니까
- 17. CD-ROM 데모 응용 프로그램을 만드는 가장 좋은 도구는 무엇입니까?
- 18. Linux 또는 Mac에서 텍스트 처리를 수행하는 가장 좋은 도구는 무엇입니까?
- 19. asp.net mvc 코드를 프로파일 링하는 가장 좋은 도구는 무엇입니까?
- 20. Java에서 자연 DSL을 만드는 가장 좋은 도구는 무엇입니까?
- 21. VBA에서 쿼리를 최적화하는 가장 좋은 도구는 무엇이며 그 이유는 무엇입니까?
- 22. "시스템 개요"다이어그램을 그릴 때 가장 좋은 도구는 무엇입니까?
- 23. jquery에서 Ajax 양식으로 보안 문자를 사용하는 가장 좋은 방법은 무엇입니까?
- 24. 최고의 JavaScript 압축/난독 화 도구는 무엇입니까?
- 25. 보안 : 양식 제출 + javascript/jQuery
- 26. Javascript - 비밀번호로 데이터를 암호화하는 가장 좋은 방법
- 27. PHP에서 보안 전자 메일을 보내는 가장 좋은 방법은 무엇입니까
- 28. 에어 애플리케이션을 지정된 시스템에 보안/링크하는 가장 좋은 방법은 무엇입니까
- 29. 추가 정보를 위해 보안 정보를 저장하는 가장 좋은 방법은 무엇입니까?
- 30. SSL이 옵션이 아닌 경우 가장 좋은 WCF 보안 모드는 무엇입니까
http://security.stackexchange.com/에서 다시 시도하지 않으시겠습니까? – AviD
보안 SE가 있습니까? 예수님, 어떻게이 일에 계속 전념 할 것으로 기대하십니까? – Anders