¿Cuál es la mejor herramienta para la auditoría de seguridad de Javascript?

Question

Algo que al menos puede escanear un lote de archivos .js en busca de declaraciones de evaluación y otro código cuestionable. Tal vez solo un patrón de expresiones regulares lo haría, pero me gustaría encontrar una herramienta más sofisticada (y mantenida regularmente).

Answer 1

¿Has probado Douglas Crockford's JSLint? Aunque no analiza su código en busca de problemas de seguridad, sí lo alerta sobre las declaraciones "eval". OTOH, Predrag Tomasevic ha escrito un JavaScript Verifier based on JSLint que se puede integrar con Visual Studio (lea más sobre este here).

Answer 2

No conozco ninguna herramienta de código abierto que realice análisis estáticos de JavaScript.

Grepping for eval() probablemente no sirva para nada más que errores muy simples y muy obvios. Será aún más difícil analizar si la secuencia de comandos se ha minimizado u ofuscado porque será difícil determinar si el argumento se usa de forma segura o no.

Existen muchos problemas de seguridad en JavaScript que dependen de la interacción con el DOM. La expansión de eval() podría funcionar, pero perderá otros puntos de ejecución como hrefs o controladores de eventos que podrían ser atacados, p. href = javascript: xss o onFoo = xss. Realmente necesita una herramienta que se ocupe de JavaScript y el DOM, no solo una consola de JavaScript.

IBM/Watchfire publicó recientemente un documento sobre un JavaScript analyzer que han creado. El documento proporciona detalles sobre los resultados en lugar de la implementación. Puede que una herramienta comercial no sea la que usted desea, pero el documento debería ayudar a arrojar más luz sobre los desafíos de hacerlo bien.

Answer 3

Esta herramienta de Facebook parece prometedora.

https://github.com/facebook/jsgrep

Answer 4

viejo tema, pero nueva herramienta: ScanJS, desarrollado por Mozilla con el fin de comprobar la seguridad de Firefox OS. https://github.com/mozilla/scanjs