我用过 skipfish和 Burp Suite 之前在“标准”Web 应用程序上。
但是我现在写的越来越多single-page apps ,在我的例子中是 backbone.js。
有没有软件可以扫描这些?除了明确地测试您的 API 网址之外?
最佳答案
两个可用于评估 JavaScript 的工具是 JSLint 和 Dominator。
JSLint是 Douglass Crockford 编写的 JavaScript 代码质量工具。虽然它的目的不仅仅是分析您的代码的安全性,但它会突出显示不安全和糟糕的技术,这些技术会使您的应用程序更容易出错并且可能容易受到安全问题的影响。同样,它本身不是安全工具,但仍然很有用。
Dominator是一款基于 Firefox 的软件,可帮助识别网站内的 DOM XSS 问题。通常,您只需浏览一个页面并在运行时使用应用程序,它就会突出显示并提醒您它认为是安全问题的地方。它有相当一部分误报,但我在使用此工具时发现了一些错误。我相信它也有一个内置的模糊器,但我没有太多使用该功能。
另一个有用的工具是 grep
。不要低估通过查找已知的危险函数并确保以安全的方式使用它们可以发现多少错误。
关于javascript - 单页 JavaScript 应用程序的漏洞/安全扫描器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11262985/