JS代码静态分析及挖掘

JavaScript 已经成为现代 Web 浏览器开发中最广泛的技术之一。使用客户端 JavaScript 框架(如 AngularJS,ReactJS 和 Vue.js)构建的应用程序已向前端输送了大量功能和逻辑。

随着客户端功能和逻辑的增长,客户端的攻击面也在逐渐增长。

做为安全测试人员,必须了解这些应用程序的攻击面。对测试来讲,了解要查找的信息,查找的位置以及如何查找那些能致使在应用程序中发现潜在安全问题的信息都很重要。

在这篇博文中,咱们将介绍如何对客户端 JavaScript 代码进行静态分析来发现应用程序中潜在的安全问题。

咱们特别感兴趣的事情是经过执行静态分析发现安全问题。咱们不会深刻研究性能分析或功能测试。
Picture
 
Static analysis is analysing code without executing it.

咱们须要找哪些信息?

​做为渗透测试人员,对客户端 JavaScript 进行静态分析时,咱们或多或少会对如下几类信息感兴趣 :
  1. 会增长攻击面(URL,域等)的信息
  2. 敏感信息(密码,API 密钥,存储等)
  3. 代码中的潜在危险位置(eval,dangerouslySetInnerHTML 等)
  4. 具备已知漏洞的组件(过期的框架等)

执行静态分析的步骤

咱们将执行静态分析分解为如下几个步骤:
  1. 识别和收集应用程序中的 JavaScript 文件
  2. 将收集的 JavaScript 代码进行可读处理(Unminify / Deobfuscate)
  3. 识别可能致使发现安全问题的信息

收集 JavaScript 文件

1.若是你使用的是 Burp Suite 测试应用程序,那么有多种方法能够收集应用程序中的全部 JavaScript 文件。

在 Appsecco 中,咱们遵循用户驱动的工做流程来测试 Web 应用程序,咱们经过模拟用户浏览整个应用程序来开始测试。

经过设置 Burp 代理在浏览应用程序时将产生的流量发送到Burp。完成浏览后,你可使用 Burp 的工具集来提取全部的 JavaScript 文件。

若是你使用的是 Burp Suite Community Edition,则能够在菜单中导航到 proxy > HTTP history 并使用显示过滤器,设置为仅显示应用程序使用的JavaScript文件。你还能够复制已显示的全部 JavaScript 文件的 URL。
Picture
 
Burp display filters to display only JavaScript files for a given application
Picture
 
Copy the URLs for all the JavaScript file displayed after filtering
Picture
 
Burp “Find Scripts” to identify all the JS files on an application
Picture
 
Burp “Find scripts” can export all the scripts, not just URLs

另外一种在应用程序中快速列出 JavaScript 文件的有趣技术是挖掘相似 Wayback Machine 之类的互联网档案数据库。此技术彻底是被动的,由于咱们不须要向目标应用程序的服务器发送任何请求。

挖掘 Wayback Machine 等互联网档案对于识别应用程序中的 JavaScript 文件很是有用。有时你将可以找到在服务器上还未删除的 JavaScript 文件。
go get waybackurls waybackurls internet.org | grep“\ .js”| uniq | sort
Picture
 
Using “waybackurls” to extract URLs for JavaScript files that belong to a domain that are listed in Wayback Machine archive

  • 使用 Wayback Machine 可能会致使误报,即有些 JavaScript 文件可能在服务器上已经不存在了。收集 JavaScript 文件的 URL 列表后,可使用 curl 快速检查服务器上 JavaScript 文件的状态。
cat js_files_url_list.txt | parallel -j50 -q curl -w 'Status:%{http_code}\t Size:%{size_download}\t %{url_effective}\n' -o /dev/null -sk
Picture
 
Using cURL to quickly check for the status of the JavaScript files on the server

对收集的 JavaScript 代码进行可读处理

有时,你收集的 JavaScript 文件可能没法读取或可读性较差。这多是由于开发人员已经将 JavaScript 代码进行缩小或混淆。

缩小
:指在不影响浏览器处理资源的方式的状况下删除没必要要或冗余数据的过程;例如代码注释和格式化,删除未使用的代码,使用较短的变量和函数名称等等。

混淆:涉及对程序进行修改,更改变量,函数和成员的名称,使程序更难理解。
  • 有各类工具能够缩小 JavaScript。UglifyJS 是一个简洁的 JS 代码处理工具,它也能够做为 npm 包使用
Picture
 
Minify JavaScript using UglifyJS

有各类工具能够简化 JavaScript。 JS Beautifier 是一个能够美化和反混淆某些混淆方案的工具。你能够经过  node.jspythononline 或  VS Code 等代码编辑器使用此工具。
Picture
 
Unminify JavaScript using JS Beautifier

在执行反混淆处理尤为是在处理恶意软件时,没有一种适合全部技术的通用工具。你将不得不尝试各类工具,反混淆方案并执行一些手动分析。可是有多种工具能够帮助你反混淆 JavaScript 代码。咱们常用的一些工具是 JStilleryJSDetoxJS-BeautifierIlluminateJsJSNice 等。

在 JavaScript 中识别有趣的信息

1. 在 JavaScript 文件中寻找的关键信息之一:端点,即完整的 URL,相对路径等。

识别完整的 URL 和 JavaScript 文件中的相对路径将帮助咱们发现攻击面并可能发现更多的漏洞
  • relative-url-extractor 是由 Jobert ABMA 开发的一个很是方便且快速识别一个 JavaScript 文件中的全部相对路径的工具。此工具能够在本地和远程 JavaScript 文件上工做。此工具能够直接在压缩过的 JavaScript 上工做
Picture
 
Using relative-url-extractor to extract relative paths from remote JS file

  • LinkFinder 是由 Gerben Javado 开发的一个肯定全部端点和端点所对应的 JavaScript 文件中的参数的工具。此工具也能够直接在压缩过的 JavaScript 上工做,它经过 jsbeautifier 还原 JavaScript。也能够针对某个域名运行此工具来枚举全部的 JavaScript 文件。
python linkfinder.py -i https://example.com -d -o cli

Picture
 
Using LinkFinder to extract endpoints from all the JS files in an application

2.  CloudScraper 是一种用于搜寻云资源的爬虫和抓取目标的工具。能够查看 JavaScript 文件来查找对云资源的引用。此搜索产生的反作用是该工具还会识别托管在云服务(如 Amazon S3 Buckets)上的全部 JavaScript 文件。
Picture
 
Using CloudScraper to identify cloud resources in source code

3. JavaScript 文件还可能包含敏感信息,如凭据和 API 密钥。从广义上讲,咱们可使用正则表达式或熵来识别源代码文件中的秘密。正则表达式搜索将可以识别用户设置的凭据,例如用户名和密码。基于熵的搜索在识别足够随机的密钥(例如 API 密钥和令牌)方面是很是有效的。
  • truffleHog 是一个在源代码文件中搜索密钥的神奇工具。此工具支持基于熵和基于正则表达式的搜索。在正则表达式搜索和熵搜索中,truffleHog 也能够轻松高度的自定义。
  • 不要忘记,在搜索源代码文件的特定敏感信息时,grep / sed / awk 也很是强大。

4. 在查看 JavaScript 文件时,重要的是识别代码中的危险位置,即开发人员每每会犯错误的地方,这会致使潜在的安全问题。
  • innerHTML 的用法表示可能存在XSS问题。在现代客户端 JavaScript 框架中也存在与 innerHTML 等价的方法,eval 功能是另外一个在客户端和服务器端均可能出错的地方。例如 React 框架中的 dangerouslytSetInnerHTML 而且它们确实在过去致使过严重的安全漏洞。在 Angular 中对于 bypassSecurityTrustX 方法的不正确使用也会致使 XSS 问题。
​​
Picture
 
List of bypassSecurityTrustX methods in Angular
  • postMessage API 是 JSONP 和带有 CORS 头的 XHR 以及其余方法的替代方法,能够经过绕过同源策略(SOP)在源之间发送数据。绕过 SOP 并与不一样来源进行通讯的想法应该是攻击者很是感兴趣的事情。使用 postMessage 时会存在各类安全隐患,一旦了解了与 postMessage 相关的安全问题,就能够在 JavaScript 文件中查找实现。在消息发送方,寻找 window.postMessage 并在接收方端寻找一个监听器 window.addEventListener。你必须记住,不少框架都在 postMessage 代码的附近实现了包装器。
  • localStorage 和 sessionStorage 是 HTML Web 存储对象。在 JavaScript 中,你能够查找 window.localStorage 和 window.sessionStorage 实现,经过 Web 存储,Web 应用程序能够在用户的浏览器中本地存储数据。使用 Web 存储识别存储内容是重要的,特别是存储敏感的任何内容均可能致使潜在的安全问题。

在 JavaScript 中查找可能致使潜在安全问题的危险位置强依赖于正在使用的技术堆栈。你应该肯定正在使用的框架,在框架中识别危险的函数,而后在源代码中查找它们。

5. 使用安全评估工具和静态安全扫描程序能够轻松识别 JavaScript 代码中的低危漏洞。JSPrime 是一个静态分析工具,用于查找 JavaScript 代码中的安全问题,但项目暂时没有更新。ESLint 是最流行的 JavaScript 评估工具之一。经过添加自定义规则,能够轻松自定义 ESLint。ESLint 提供了许多自定义安全规则,特别是针对 Angular,React 等现代框架。
Picture
 
ESLint with Angular security rules reporting potential security issues

6. 在执行安全性评估时,识别应用程序中使用的老版本的和易受攻击的 JavaScript 框架/库很是重要。Retire.js 是一个能够识别正在使用的 JavaScript 框架是否过期的工具。此工具可用做独立工具,浏览器扩展,grunt 插件或 Burp / ZAP 扩展。若是你以用户驱动的方式执行测试,则 RetireJS Burp 扩展特别有用。尽管 RetireJS 能够产生一些误报,但 RetireJS 报告的并不是易受攻击的漏洞。
Picture
 
RetireJS Burp suite extension reporting an outdated JavaScript library
相关文章
相关标签/搜索