偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

如何使用JSPanda掃描客戶端原型污染漏洞

安全 數據安全
JSPanda是一款功能強大的客戶端原型污染漏洞掃描工具,該工具可以對從源代碼中收集的所有單詞進行污染操作,并將其顯示在屏幕上。

[[434944]]

關于JSPanda

JSPanda是一款功能強大的客戶端原型污染漏洞掃描工具,該工具可以對從源代碼中收集的所有單詞進行污染操作,并將其顯示在屏幕上。因此,它可能會產生假陽性結果。這些輸出信息僅為研究人員提供額外的安全分析信息,其目的并非實現完全的自動化操作。

注意事項:當前版本的JSPanda還不具備檢測高級原型污染漏洞的能力。

JSPanda運行機制

  • 使用了多種針對原型污染漏洞的Payload;
  • 可以收集目標項目中的所有鏈接,并對其進行掃描,然后添加Payload至JSPanda所獲取到的URL中,并使用無頭Chromedriver導航至每一條URL鏈接;
  • 掃描目標JavaScript庫源代碼中潛在易受攻擊的所有單詞,JSPanda可以掃描目標項目中的腳本工具,并創(chuàng)建一個簡單的JS PoC代碼,以幫助廣大研究人員對目標代碼執(zhí)行手動掃描;

工具要求

  • 下載并安裝最新版本的Google Chrome瀏覽器以及Chromedriver驅動程序;
  • Selenium

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地:

  1. git clone https://github.com/RedSection/jspanda.git 

工具運行

(1) 執(zhí)行掃描

首先,我們需要將目標項目的URL地址添加進JSPanda的url.txt文件中,比如說“example.com”。添加完成后,我們就可以運行下列命令來執(zhí)行掃描了:

  1. python3.7 jspanda.py 

(2) 基礎源代碼分析

首先,我們需要將一個JavaScript庫的源代碼添加至analyze.js中,然后使用analyze.py文件來生成PoC代碼。

接下來,在Chrome瀏覽器的命令行終端窗口中執(zhí)行我們剛才生成的PoC代碼。它將會對從源代碼中收集到的所有單詞進行污染操作,并將結果顯示在控制臺窗口中。這個過程有可能會產生假陽性結果。這些輸出信息僅為研究人員提供額外的安全分析信息,其目的并非實現完全的自動化操作。

運行命令如下:

  1. python3.7 analyze.py 

源代碼分析截圖

工具演示視頻

視頻地址:【點我觀看

項目地址

JSPanda:【GitHub傳送門

 

責任編輯:趙寧寧 來源: FreeBuf
相關推薦

2014-07-17 15:47:52

2010-12-17 10:16:33

OpenVAS

2012-10-19 13:37:08

2011-08-17 10:10:59

2013-01-11 09:41:34

2012-10-11 17:02:02

IBMdw

2010-05-12 15:46:51

Subversion客

2021-08-22 14:52:00

漏洞網絡安全網絡攻擊

2023-08-28 07:12:54

2010-05-20 16:52:31

ZendStudio客

2020-03-19 08:00:00

客戶端KubernetesAPI

2011-03-21 14:53:36

Nagios監(jiān)控Linux

2011-04-06 14:24:20

Nagios監(jiān)控Linux

2011-06-08 14:30:54

SkypeWindows微軟

2012-01-13 10:29:37

ibmdw

2020-04-23 09:32:33

zookeeperCP系統(tǒng)

2010-05-26 09:26:43

Cassandra

2010-06-01 13:54:42

TortoiseSVN

2011-04-06 14:24:27

Nagios監(jiān)控Linux

2013-03-13 10:51:44

瘦客戶端VDI
點贊
收藏

51CTO技術棧公眾號