单页 JavaScript 应用程序的可访问性/安全扫描程序
Vunerability/security scanner for single page JavaScript apps
我以前在"标准"Web应用程序上使用过skipfish和Burp Suite。
然而,我现在正在编写越来越多的单页应用程序,就我而言,是骨干.js。
无论如何可以用软件扫描这些吗?除了显式测试您的 API 网址之外?
两个可用于评估 JavaScript 的工具是 JSLint 和 Dominator。
JSLint是由Douglass Crockford编写的JavaScript代码质量工具。虽然它的目的不仅仅是分析代码的安全性,但它将突出不安全和糟糕的技术,这些技术使您的应用程序更容易出错并且容易受到安全问题的影响。同样,它本身不是一个安全工具,但它仍然很有用。
Dominator是一款基于Firefox的软件,可帮助识别网站中的DOM XSS问题。通常,您只需浏览页面并在运行时使用应用程序,它会突出显示并提醒您它认为是安全问题。它有相当多的误报,但我在使用此工具时发现了一些错误。我相信它还有一个内置的模糊器,但我没有经常使用该功能。
另一个有用的工具是 grep
.不要低估通过对已知危险功能进行 greping 并确保以安全的方式使用它们来发现多少错误。
相关文章:
- 如何在读取XLS/XLSX本地文件时,使用IE的javascript代码启用未标记为安全的ActiveX控件
- 使用javascript存储变量的最安全方式
- 是否存在React Native“;WEB代码安全防护”;
- 内容安全策略:页面's设置阻止加载资源
- 如何通过安全的https连接在javascript中使用基于soap xml的Web服务
- 导致内容安全策略(CSP)冲突错误的本地jquery.js文件
- 如何在Google chrome安全首选项文件中创建扩展安全哈希代码
- ES6 模板文字是否比 eval 更安全
- CORS保持在SecurityError上:操作不安全
- 旋转木马;启用内容安全策略时无法工作
- 从自己的安全系统中重新找回自己
- 关于ajax的安全问题
- 如何使用app和secret进行安全的解析初始化
- 是一个javascript bookmarklet,可以设置破坏跨域安全的域cookie
- Extjs、Chrome扩展和内容安全策略
- 单页 JavaScript 应用程序的可访问性/安全扫描程序
- 如何使用Fortify安全扫描软件扫描JS文件
- JavaScript Acunetix安全扫描警告
- 解释JavaScript安全扫描警告
- 安全扫描显示JS脚本文件中的漏洞