如何使用JSPanda掃描客戶端原型污染漏洞

2022-10-03 分類：網(wǎng)站建設(shè)

關(guān)于JSPanda

JSPanda是一款功能強大的客戶端原型污染漏洞掃描工具，該工具可以對從源代碼中收集的所有單詞進行污染操作，并將其顯示在屏幕上。因此，它可能會產(chǎn)生假陽性結(jié)果。這些輸出信息僅為研究人員提供額外的安全分析信息，其目的并非實現(xiàn)完全的自動化操作。

注意事項：當前版本的JSPanda還不具備檢測高級原型污染漏洞的能力。

JSPanda運行機制使用了多種針對原型污染漏洞的Payload; 可以收集目標項目中的所有鏈接，并對其進行掃描，然后添加Payload至JSPanda所獲取到的URL中，并使用無頭Chromedriver導(dǎo)航至每一條URL鏈接; 掃描目標JavaScript庫源代碼中潛在易受攻擊的所有單詞，JSPanda可以掃描目標項目中的腳本工具，并創(chuàng)建一個簡單的JS PoC代碼，以幫助廣大研究人員對目標代碼執(zhí)行手動掃描; 工具要求下載并安裝最新版本的Google Chrome瀏覽器以及Chromedriver驅(qū)動程序; Selenium 工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/RedSection/jspanda.git 工具運行

(1) 執(zhí)行掃描

首先，我們需要將目標項目的URL地址添加進JSPanda的url.txt文件中，比如說“example.com”。添加完成后，我們就可以運行下列命令來執(zhí)行掃描了：

python3.7 jspanda.py

(2) 基礎(chǔ)源代碼分析

首先，我們需要將一個JavaScript庫的源代碼添加至analyze.js中，然后使用analyze.py文件來生成PoC代碼。

接下來，在Chrome瀏覽器的命令行終端窗口中執(zhí)行我們剛才生成的PoC代碼。它將會對從源代碼中收集到的所有單詞進行污染操作，并將結(jié)果顯示在控制臺窗口中。這個過程有可能會產(chǎn)生假陽性結(jié)果。這些輸出信息僅為研究人員提供額外的安全分析信息，其目的并非實現(xiàn)完全的自動化操作。

運行命令如下：

python3.7 analyze.py 源代碼分析截圖

如何使用JSPanda掃描客戶端原型污染漏洞

工具演示視頻

視頻地址：【點我觀看】

項目地址

JSPanda：【GitHub傳送門】

文章名稱：如何使用JSPanda掃描客戶端原型污染漏洞
當前地址：http://aaarwkj.com/news47/201297.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、網(wǎng)站建設(shè)、定制開發(fā)、ChatGPT、App開發(fā)、微信公眾號

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

https網(wǎng)站打不開如何解決 2022-10-03
DigiCert相關(guān)證書的價格影響因素以及申請的好處 2022-10-03
從云計算過渡到霧計算 2022-10-03
挑選優(yōu)質(zhì)服務(wù)器代理商的黃金法則 2022-10-03
ssl證書一年多少錢，有免費的嗎 2022-10-03
租用韓國服務(wù)器好不好？韓國服務(wù)器有什么優(yōu)勢？ 2022-10-03
云主機遷移數(shù)據(jù)復(fù)雜嗎？數(shù)據(jù)如何遷移到云主機 2022-10-03

欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

如何使用JSPanda掃描客戶端原型污染漏洞