JS Vulnerability Detector

简介:

JavaSript 漏洞检测器是我在布尔诺理工大学信息学院的硕士论文的结果......

JavaSript 漏洞检测器是我在布尔诺理工大学信息技术学院 2022 年毕业的硕士论文的成果。该扩展旨在为包含易受攻击的 JavaScript 库代码的各种网站的最终用户添加安全功能。扩展的原则如下：

1. 页面加载后，扩展程序会扫描页面上包含的所有 JavaScript 并将其发送到后台脚本进行处理。
2. 如果脚本包含已知漏洞（初始版本主要关注 jQuery），则会对其进行跟踪并显示在扩展弹出窗口中。检测到后，可以阻止、修补易受攻击的脚本或保持原样，仅进行跟踪。

所有数据都存储在本地，可以通过扩展弹出窗口中的“清除”按钮清除。没有正在进行的服务器通信，没有数据离开浏览器。

扩展程序以 4 种模式运行：
1. 禁用-无操作
2.分析-仅标准​​分析模式-不修补或阻止易受攻击的脚本
3. bloc - 从网站中删除易受攻击的脚本
4. 修复 - 实验性的，如果可能的话，修补易受攻击的脚本

目前它可以检测易受攻击的 jQuery 版本（最高可达 3.5.0），并通过在运行时将其更新到 3.5.0 及更多版本（大约 30 个，包括一些 lodash、remarkjs、axios、handlebars 和其他漏洞）来修复它们。

源代码开放，可在 https://github.com/xrandy00/mt_2022 获取