JS漏洞检测器:通过JavaScript漏洞检测提升网站安全性
JS漏洞检测器是由randysekvojta开发的Chrome扩展程序。该扩展程序是布尔诺理工大学信息技术学院硕士论文项目的结果,于完成。
该扩展程序的主要目标是为包含易受攻击的JavaScript库代码的网站添加安全功能。
在加载网页时,JS漏洞检测器会扫描页面上的所有JavaScript代码,并将其发送到后台脚本进行处理。如果脚本包含已知的漏洞,特别是针对jQuery的漏洞,该扩展程序会跟踪并在弹出窗口中显示。用户可以选择阻止、修补或仅跟踪易受攻击的脚本。
所有数据都存储在本地,并可以使用扩展程序弹出窗口中的“清除”按钮进行清除。没有涉及服务器通信,确保没有数据离开浏览器。
JS漏洞检测器有四种模式:禁用、分析、阻止和修复。在分析模式下,只执行标准分析,不修补或阻止易受攻击的脚本。阻止模式会从网站中删除易受攻击的脚本,而修复模式会尝试修补漏洞(如果可能)。
目前,该扩展程序可以检测并在运行时更新jQuery的易受攻击版本。它还可以检测其他JavaScript库(如lodash、remarkjs、axios、handlebars等)的漏洞,总计约30个漏洞。
