我之前在“标准”网络应用程序中使用过skipfish和Burp Suite。
然而,我现在写的越来越多single-page apps,在我的情况下使用backbone.js。
无论如何用软件扫描这些?除了明确测试您的API网址外?
答案 0 :(得分:0)
可用于评估JavaScript的两个工具是JSLint和Dominator。
JSLint是由Douglass Crockford编写的JavaScript代码质量工具。虽然它的目的不仅仅是分析代码的安全性,但它会强调不安全和糟糕的技术,这些技术会使您的应用程序更容易出错,并且可能容易受到安全问题的影响。同样,它本身并不是一种安全工具,但它仍然很有用。
Dominator是一款基于Firefox的软件,可帮助识别网站中的DOM XSS问题。一般情况下,您只需浏览页面并在运行时使用应用程序,它就会突出显示并提醒您它认为存在安全问题。它有很多误报,但我在使用这个工具时发现了一些错误。我相信它也有一个内置的模糊器,但我没有太多使用它。
另一个有用的工具是grep。不要低估通过使用已知的危险功能并确保以安全的方式使用它们可以找到多少错误。