当前位置:主页>科 研>学术交流>

JavaScript常见安全漏洞及自动检测技术(4)

 ▲图5.分析JavaScript

JavaScriptSecurityAnalyzer扫描完成后,即在结果列表中列出所发现的客户端JavaScript安全漏洞。如下图所示,AltoroMutual站点存在"基于DOM的跨站点脚本编制"及"开放式重定向"漏洞,下文将展示这些漏洞的详细信息。

▲图6.查看扫描结果

展开结果列表中的"基于DOM的跨站点脚本编制",单击第一个"JavaScript"问题,在下方的问题信息中将会展示其详细信息。我们可以看出,AppScan保存了对JavaScript问题代码的分析结果,并用黄色标识定位了源(Source)和接收器(Sink),利于开发人员快速修复该漏洞。

▲图7.基于DOM的跨站点脚本编制问题信息

同样,展开并查看"开放式重定向"问题,在问题信息栏中展示了该漏洞的代码分析结果。

▲图8.开放式重定向问题信息

注意:

本文为了快速展示如何检测JavaScript安全漏洞,所以选择"仅探索"+客户端JavaScript分析的测试方式。实际工作中,建议您只需要跟通常一样进行扫描(即手工探索结合自动探索站点,然后执行测试),AppScan默认会在测试过程中自动执行JavaScript Security Analyzer。

Rational AppScan Standard能检测已知常见JavaScript安全漏洞,但AltoroMutual仅展示了基于DOM的跨站脚本编制和重定向漏洞,故本案例的结果列表中仅包含上述两项安全漏洞。

(责任编辑:)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

容器是如何让“一切都是代码”成为现实的

容器是如何让“一切都是代码”成为现实的

现代应用的发展在很大程度上要归功于DevOps运动的蓬勃兴起以及该运动所产生的各种自动...[详细]

如何快速掌握一门新技术/语言/框架

如何快速掌握一门新技术/语言/框架

IT行业中的企业特点是都属于知识密集型企业。这种企业的核心竞争力与员工的知识和技能...[详细]

建高效数据中心有径可循

建高效数据中心有径可循

能耗问题一直是各大数据中心的心头之痛。有数据表明,2015年我国数据中心能耗预计将高...[详细]

2015黑帽大会:网络灾难后 重建IT安全

2015黑帽大会:网络灾难后 重建IT安全

在遭遇网络灾难后重建IT安全似乎是不可能完成的任务,但根据安全专家Christina Kubeck...[详细]

面对DNS劫持 企业移动应用该如何防护?

面对DNS劫持 企业移动应用该如何防护?

DNS(Domain Name System)劫持又称域名劫持,是指对正常的域名解析请求加以拦截,转而...[详细]

返回首页 返回顶部