私は通常、いくつかの jQuery プラグインをダウンロードしています。スクリプトが情報 (ユーザー Cookie、セッション ID など) を盗み、開発者のサーバーに送信しているかどうかを確認するにはどうすればよいですか?
PHP では、いくつかの関数 (system、passthru、shell_exec など) を探して、バックドア スクリプトをチェックしています。開発者サイトに接続するための JavaScript のような関数はありますか?
2 に答える
2
明らかに、最初のステップはコードを読むことです。コード内の URL や暗号化されたコードを探すなど、探すことができる多くの証拠となる兆候があります。
もちろん、一部のコードは複雑すぎてこれを現実的な提案にすることはできませんが、特に縮小され難読化されている場合はそうですが、スキャンすることは可能です。このようなことをしている場合、自分のサイトとの通信に使用するのと同じ関数 (つまり、jQuery の ajax 関数) を使用するため、疑わしい特定の関数呼び出しは表示されませんが、コード内の URL は疑われます。チェックアウトする必要があり、暗号化されたコードは絶対に避ける必要があります (一般的に難読化は問題ありませんが、暗号化はできません)。
次に、プラグインについてコメントしている他の人をインターネットで検索します。何か不都合なことが起こっている場合、他の人がそれに気付いている可能性があります。何らかの方法でコメントを取得するのに十分なユーザーがいないプラグインの使用は避けてください。
最後に、Firebug などのツールを使用して、プラグインを含むサイトの使用中に発生する HTTP リクエストを監視します。基地と通信している場合は、あなたから隠れることはできません。ブラウザのデバッグ ツールは、知っておくべきことを喜んで示してくれます。
それが役立つことを願っています。
于 2012-04-22T20:12:37.570 に答える
2
コード全体を読んで、何かを盗んでいないかどうかを確認する以外にできることはないと思います。もう 1 つの方法として、「document.cookie」や「navigator」などの情報を盗むために必要な単語の後にコードを検索することができます。
于 2012-04-22T07:24:19.560 に答える