以前、「標準」の Web アプリケーションでskipfishと Burp Suiteを使用しました。
しかし、私の場合は backbone.js を使用して、ますます多くのシングルページ アプリを作成しています。
これらをソフトウェアでスキャンする方法はありますか?API URL を明示的にテストするだけでなく、
1468 次
1 に答える
0
JavaScript の評価に役立つ 2 つのツールは、JSLint と Dominator です。
JSLintは Douglass Crockford によって書かれた JavaScript コード品質ツールです。その目的はコードのセキュリティを分析することだけではありませんが、アプリケーションでエラーが発生しやすくなり、セキュリティの問題に対して潜在的に脆弱になる、安全でない技術や貧弱な技術を浮き彫りにします。繰り返しますが、それ自体はセキュリティ ツールではありませんが、それでも有用です。
Dominatorは、Web サイト内の DOM XSS の問題を特定するのに役立つ Firefox ベースのソフトウェアです。一般に、ページを閲覧し、実行中にアプリケーションを使用するだけで、セキュリティ上の問題と思われるものを強調表示して警告します。誤検知のかなりの割合がありますが、このツールを使用しているときにいくつかのバグを発見しました. ファザーも組み込まれていると思いますが、その機能はあまり使用していません。
もう 1 つの便利なツールはgrep. 既知の危険な機能を grep し、それらを安全な方法で使用していることを確認することで、どれだけ多くのバグを見つけることができるかを過小評価しないでください。
于 2012-11-21T18:20:50.850 に答える