2022-10-03 分類: 網(wǎng)站建設(shè)
JSPanda是一款功能強(qiáng)大的客戶端原型污染漏洞掃描工具,該工具可以對(duì)從源代碼中收集的所有單詞進(jìn)行污染操作,并將其顯示在屏幕上。因此,它可能會(huì)產(chǎn)生假陽(yáng)性結(jié)果。這些輸出信息僅為研究人員提供額外的安全分析信息,其目的并非實(shí)現(xiàn)完全的自動(dòng)化操作。
注意事項(xiàng):當(dāng)前版本的JSPanda還不具備檢測(cè)高級(jí)原型污染漏洞的能力。
JSPanda運(yùn)行機(jī)制 使用了多種針對(duì)原型污染漏洞的Payload; 可以收集目標(biāo)項(xiàng)目中的所有鏈接,并對(duì)其進(jìn)行掃描,然后添加Payload至JSPanda所獲取到的URL中,并使用無(wú)頭Chromedriver導(dǎo)航至每一條URL鏈接; 掃描目標(biāo)JavaScript庫(kù)源代碼中潛在易受攻擊的所有單詞,JSPanda可以掃描目標(biāo)項(xiàng)目中的腳本工具,并創(chuàng)建一個(gè)簡(jiǎn)單的JS PoC代碼,以幫助廣大研究人員對(duì)目標(biāo)代碼執(zhí)行手動(dòng)掃描; 工具要求 下載并安裝最新版本的Google Chrome瀏覽器以及Chromedriver驅(qū)動(dòng)程序; Selenium 工具下載廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:
git clone https://github.com/RedSection/jspanda.git 工具運(yùn)行(1) 執(zhí)行掃描
首先,我們需要將目標(biāo)項(xiàng)目的URL地址添加進(jìn)JSPanda的url.txt文件中,比如說(shuō)“example.com”。添加完成后,我們就可以運(yùn)行下列命令來(lái)執(zhí)行掃描了:
python3.7 jspanda.py(2) 基礎(chǔ)源代碼分析
首先,我們需要將一個(gè)JavaScript庫(kù)的源代碼添加至analyze.js中,然后使用analyze.py文件來(lái)生成PoC代碼。
接下來(lái),在Chrome瀏覽器的命令行終端窗口中執(zhí)行我們剛才生成的PoC代碼。它將會(huì)對(duì)從源代碼中收集到的所有單詞進(jìn)行污染操作,并將結(jié)果顯示在控制臺(tái)窗口中。這個(gè)過(guò)程有可能會(huì)產(chǎn)生假陽(yáng)性結(jié)果。這些輸出信息僅為研究人員提供額外的安全分析信息,其目的并非實(shí)現(xiàn)完全的自動(dòng)化操作。
運(yùn)行命令如下:
python3.7 analyze.py 源代碼分析截圖 工具演示視頻視頻地址:【點(diǎn)我觀看】
項(xiàng)目地址JSPanda:【GitHub傳送門】
文章名稱:如何使用JSPanda掃描客戶端原型污染漏洞
當(dāng)前地址:http://www.rwnh.cn/news47/201297.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站、網(wǎng)站建設(shè)、定制開(kāi)發(fā)、ChatGPT、App開(kāi)發(fā)、微信公眾號(hào)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容