▲图5.分析JavaScript
JavaScriptSecurityAnalyzer扫描完成后,即在结果列表中列出所发现的客户端JavaScript安全漏洞。如下图所示,AltoroMutual站点存在"基于DOM的跨站点脚本编制"及"开放式重定向"漏洞,下文将展示这些漏洞的详细信息。
▲图6.查看扫描结果
展开结果列表中的"基于DOM的跨站点脚本编制",单击第一个"JavaScript"问题,在下方的问题信息中将会展示其详细信息。我们可以看出,AppScan保存了对JavaScript问题代码的分析结果,并用黄色标识定位了源(Source)和接收器(Sink),利于开发人员快速修复该漏洞。
▲图7.基于DOM的跨站点脚本编制问题信息
同样,展开并查看"开放式重定向"问题,在问题信息栏中展示了该漏洞的代码分析结果。
▲图8.开放式重定向问题信息
注意:
本文为了快速展示如何检测JavaScript安全漏洞,所以选择"仅探索"+客户端JavaScript分析的测试方式。实际工作中,建议您只需要跟通常一样进行扫描(即手工探索结合自动探索站点,然后执行测试),AppScan默认会在测试过程中自动执行JavaScript Security Analyzer。
Rational AppScan Standard能检测已知常见JavaScript安全漏洞,但AltoroMutual仅展示了基于DOM的跨站脚本编制和重定向漏洞,故本案例的结果列表中仅包含上述两项安全漏洞。
(责任编辑:)