日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何使用JSPanda掃描客戶端原型污染漏洞

關(guān)于JSPanda

JSPanda是一款功能強(qiáng)大的客戶端原型污染漏洞掃描工具,該工具可以對從源代碼中收集的所有單詞進(jìn)行污染操作,并將其顯示在屏幕上。因此,它可能會產(chǎn)生假陽性結(jié)果。這些輸出信息僅為研究人員提供額外的安全分析信息,其目的并非實(shí)現(xiàn)完全的自動(dòng)化操作。

注意事項(xiàng):當(dāng)前版本的JSPanda還不具備檢測高級原型污染漏洞的能力。

JSPanda運(yùn)行機(jī)制

  • 使用了多種針對原型污染漏洞的Payload;
  • 可以收集目標(biāo)項(xiàng)目中的所有鏈接,并對其進(jìn)行掃描,然后添加Payload至JSPanda所獲取到的URL中,并使用無頭Chromedriver導(dǎo)航至每一條URL鏈接;
  • 掃描目標(biāo)JavaScript庫源代碼中潛在易受攻擊的所有單詞,JSPanda可以掃描目標(biāo)項(xiàng)目中的腳本工具,并創(chuàng)建一個(gè)簡單的JS PoC代碼,以幫助廣大研究人員對目標(biāo)代碼執(zhí)行手動(dòng)掃描;

工具要求

  • 下載并安裝最新版本的Google Chrome瀏覽器以及Chromedriver驅(qū)動(dòng)程序;
  • Selenium

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:

 
 
 
    
  
  
  
  1. git clone https://github.com/RedSection/jspanda.git 
    2.

工具運(yùn)行

(1) 執(zhí)行掃描

首先,我們需要將目標(biāo)項(xiàng)目的URL地址添加進(jìn)JSPanda的url.txt文件中,比如說“example.com”。添加完成后,我們就可以運(yùn)行下列命令來執(zhí)行掃描了:

 
 
 
    
  
  
  
  1. python3.7 jspanda.py 
    2.

(2) 基礎(chǔ)源代碼分析

首先,我們需要將一個(gè)JavaScript庫的源代碼添加至analyze.js中,然后使用analyze.py文件來生成PoC代碼。

接下來,在Chrome瀏覽器的命令行終端窗口中執(zhí)行我們剛才生成的PoC代碼。它將會對從源代碼中收集到的所有單詞進(jìn)行污染操作,并將結(jié)果顯示在控制臺窗口中。這個(gè)過程有可能會產(chǎn)生假陽性結(jié)果。這些輸出信息僅為研究人員提供額外的安全分析信息,其目的并非實(shí)現(xiàn)完全的自動(dòng)化操作。

運(yùn)行命令如下:

 
 
 
    
  
  
  
  1. python3.7 analyze.py 
    2.

源代碼分析截圖

工具演示視頻

視頻地址:【點(diǎn)我觀看】

項(xiàng)目地址

JSPanda:【GitHub傳送門】


當(dāng)前標(biāo)題:如何使用JSPanda掃描客戶端原型污染漏洞
網(wǎng)址分享:http://www.dlmjj.cn/article/codejih.html