JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具

安全 数据安全
如今,随着前端技术人才需求的不断增加,越来越多的开发者逐渐将JavaScript作为其开发语言的第一选择。

如今,随着前端技术人才需求的不断增加,越来越多的开发者逐渐将JavaScript作为其开发语言的第一选择。

JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具

目前无论是在传统PC Web平台还是移动终端平台上,在客户端侧或者服务端侧,JavaScript均有不俗的性能体现及丰富的框架支持,所以其作为一个主流开发语言也逐渐被广泛认可接受。同时,JavaScript 也因其解释器性能上的优势,可为企业解决可扩展性和吞吐量等瓶颈问题。所以JavaScript当前来说是一种重要的、强大的开发语言,它的使用者也是日益增多。

但目前的问题是,随着越来越多的JS库的出现及许多开发者在以功能实现为导向时,有时候会出现不安全编码,而这也导致了许多客户端侧攻击事件出现,其中特别是DOM XSS最为普遍。在开发这个工具之前,我们试图分析代码中引起DOM XSS攻击的触发点,但苦于没有足够有效的工具来分析解决问题。因此我们开始尝试开发工具来分析解决代码层面中的问题,到这里我们将这款基于DOM XSS攻击的代码审计工具JSPrime定义为:一款JavaScript静态分析工具,可进行代码审计,且其是一款轻量级且极易上手的点击式工具!其中,静态分析功能模块是基于当前非常流行的Esprima ECMAScript语法进行解析的。

下载地址

JSPrime GitHub下载地址:jsprime

JSPrime主要功能点

1、支持定位分析JS框架或库的Source以及Sinks;

2、许多动态或者静态分析工具的开发往往只支持纯JavaScript语法及功能,可这对于大部分开发者来说这是个问题,因为开发过程中,通常会使用一些JavaScript框架或者库,像jQuery, YUI等等。因为这些扫描器被设计用以支持纯JavaScript语法检测,其在理解开发代码内容方面较为不成熟,容易产生误报。所以为解决这个问题,JSPrime是基于jQuery和YUI等框架,对用户的存在危险性质的输入来源source及代码执行sink输入函数进行检测分析。以下为部分Source以及Sinks的具体信息,详细可查看:Source&Sinks

JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具 

JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具 

3、变量及函数追踪定位;

4、变量及函数范围界限分析;

5、识别已知过滤函数;

6、面向对象(OOP)分析及原形代码设计合规;

7、最小误报率告警;

8、支持Minified.js库(该库目前功能包括DOM操作,事件,动画,cookies和HTTP请求);

9、快速分析检索能力;

10、点击式操作(工具无需各种复杂操作,容易上手)。

安装操作步骤

1、Web端操作

在浏览器中打开“index.html”。

2、服务端操作

(1)若无安装Node.js,请先前往:node.js中文网官网下载;

(2)完成第一步后,于终端中打开此前从GitHub下载的文件中的server.js ,具体命令如下,

node server.js

(3)在服务端开启之后,于浏览器上输入:127.0.0.1:8888。

DOM XSS分析测试用例

关于DOM XSS漏洞测试用例如下(这里只存放前五个测试用例),详细测试用例(共61个)请参考:百度网盘,提取码为6qfd。

  1. ---------------TEST CASE 01-------------   
  2.  
  3. var param = location.hash.split("#")[1];  
  4.  
  5. document.write("Hello " + param + "!"); 
  1. ---------------TEST CASE 02-------------   
  2.  
  3. function timedMsg(callback){  
  4.  
  5. if(callback){  
  6.  
  7. var t=setTimeout(eval('callback'),3000);  
  8.  
  9. return 0;  
  10.  
  11. }}  
  12.  
  13. function fire(){  
  14.  
  15. var call = location.hash.split("#")[1];  
  16.  
  17. timedMsg(call);  
  18.  
  1. ---------------TEST CASE 03------------   
  2.  
  3. function timedMsg(callback){  
  4. if(callback){  
  5. var t=setTimeout(eval('callback'),3000);  
  6. return 0;  
  7. }}  
  8. function fire(){  
  9. var call = location.hash.split("#")[1];  
  10. var check=timedMsg;  
  11. check(call);  
  1. ---------------TEST CASE 04------------    
  2. function timedMsg(abc,callback){  
  3. if(callback){  
  4. var t=setTimeout(eval('callback'),3000);  
  5. return 0;  
  6. }}  
  7. function fire(){  
  8. var call = location.hash.split("#")[1];  
  9. timedMsg(12,"call");  
  1. ---------------TEST CASE 05------------    
  2. function timedMsg(abc,callback){  
  3. if(callback){  
  4. var t=setTimeout(eval('callback'),3000);  
  5. return 0;  
  6. }}  
  7. function fire(){  
  8. var call = location.hash.split("#")[1];  
  9. var check=timedMsg;  
  10. check("123",call);  

相关功能测试截图

前端界面如下,

JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具 

 

分析结果如下,

JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具  

服务器侧界面及分析如下,

JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具 

JSPrime:基于JavaScript DOM XSS检测的轻量级代码审计工具 

 【编辑推荐】

 

责任编辑:守望幸福 来源: FreeBuf
相关推荐

2013-01-09 15:27:45

DOM XSS检测QtWebKitXSS

2010-09-09 13:12:29

XML DOM

2016-04-12 10:18:19

代码审计自动化代码审计工具

2011-03-23 15:34:57

数据库审计

2021-09-29 23:43:53

Go OpenLdap检测工具

2022-07-15 16:39:19

PythonWhoosh工具

2016-03-29 14:54:36

2022-05-09 09:43:33

物联网

2017-06-28 13:40:49

信息安全源代码安全

2017-06-27 16:10:34

源代码工具对比

2020-06-19 15:38:08

分析工具GoatCounter开发

2021-12-13 16:43:04

鸿蒙HarmonyOS应用

2010-12-27 14:45:27

2013-11-15 15:42:44

FruityWifi无线安全审计安全工具

2021-04-14 13:32:50

Redis轻量级分布式

2014-04-15 17:03:00

2021-10-29 09:32:47

Windows工具密码

2021-07-06 05:13:25

勒索软件CISA安全审计工具

2020-11-02 11:24:52

算法人脸识别技术

2013-12-02 13:55:23

任意跳转漏洞漏洞检测DOM跳转漏洞
点赞
收藏

51CTO技术栈公众号