关于JSPanda
JSPanda是一款功能强大的客户端原型污染漏洞扫描工具,该工具可以对从源代码中收集的所有单词进行污染操作,并将其显示在屏幕上。因此,它可能会产生假阳性结果。这些输出信息仅为研究人员提供额外的安全分析信息,其目的并非实现完全的自动化操作。
注意事项:当前版本的JSPanda还不具备检测高级原型污染漏洞的能力。
JSPanda运行机制
工具要求
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
工具运行
(1) 执行扫描
首先,我们需要将目标项目的URL地址添加进JSPanda的url.txt文件中,比如说“example.com”。添加完成后,我们就可以运行下列命令来执行扫描了:
(2) 基础源代码分析
首先,我们需要将一个JavaScript库的源代码添加至analyze.js中,然后使用analyze.py文件来生成PoC代码。
接下来,在Chrome浏览器的命令行终端窗口中执行我们刚才生成的PoC代码。它将会对从源代码中收集到的所有单词进行污染操作,并将结果显示在控制台窗口中。这个过程有可能会产生假阳性结果。这些输出信息仅为研究人员提供额外的安全分析信息,其目的并非实现完全的自动化操作。
运行命令如下:
源代码分析截图
工具演示视频
视频地址:【点我观看】
项目地址
JSPanda:【github传送门】
原文链接:
发表评论