rami0 Sep 5 2017 at 19:13

Почему анализ защищенности JavaScript нельзя по настоящему автоматизировать?

8 min

7.5K

Positive Technologies corporate blogInformation Security*JavaScript*

Comments 20

Amareis Sep 5 2017 at 19:19

Ну что я могу сказать? JavaScript очень… Эээ… Гибкий, во! Гибкий и удивительный. И беспощадный.

sshikov Sep 5 2017 at 20:07

Не нашел ответа на вопрос из заголовка. Так почему анализ защищенности-то не того?

UFO just landed and posted this here

sshikov Sep 5 2017 at 22:06

Ну вы извините, но "Когда-то ebay решил, что" говорит только об уровне интеллекта тамошних программистов — не более того. Делать из этого глубокие выводы — это как-то непредусмотрительно.

Насколько я понял, тут предлагается что-то типа кодирования Черча для js кода под названием jsfuck. Это конечно интересно — но в целом далеко не ново.

Ну, и как вы такое автоматизируете?
Ну, интерпретатору вообще говоря все равно, что интерпретировать. Статический анализ это может и поломает, но от него в случае js и так не слишком много толку. Поломает наколенные методы защиты на базе регулярок — ну так туда им и дорога.

Ну в общем, заголовок все равно кажется слегка желтоватым.

UFO just landed and posted this here

rami0 Sep 6 2017 at 00:49

Возможно и желтоватый заголовок, но он не лишен правды. В начале я привел ссылку на статью Владимира Кочеткова о методах автоматизации анализа, станет понятно, что с анализом Java Script методом абстрактной интерпретации машина без бутылки не справится.

Если вы приведете пример успешной автоматизации поиска уязвимостей в Java Script причем желательно такой, чтобы еще выдавал на выходе готовый экслойт, буду благодарен!

sshikov Sep 9 2017 at 19:39

Ну, на самом деле я бы просто попробовал сформулировать немного иначе — чтобы не было излишнего обобщения (про "все методы" — что скорее всего неверно), и возможно в тексте уточнить (а не только в виде ссылки куда-то), почему именно (потому что производительность анализа слишком плохая, например).

К сожалению, предложить конкретный вариант заголовка не могу — не приходит в голову.

Vkuvaev Sep 6 2017 at 00:28

Автоматизация без головы, на текущем уровне развития ИТ — это как на Тесле врубить автопилот и сесть на заднее сидение. Не нужно удивляться результату, короче.

Добрыми людьми, внедрение статических анализаторов, предлагается как часть процесса, включая всякую динамику и анализ головой как результатов работы автоматических тулзов, так и всякие исследования.

Vkuvaev Sep 6 2017 at 00:37

Забыл дописать — JSFuck филигранная вещь :) отнес бы её к ИТ-арту

rami0 Sep 6 2017 at 00:52

Мы в Positive Technologies стремимся к тому, чтобы анализ кода проводился пока вы сидите на заднем сидении.

Vkuvaev Sep 22 2017 at 13:30

Мы в Микро Фокусе стремимся, чтобы анализ кода проводился пока вы отдыхаете на яхте ;)

По существу же, моя практика и статьи Вашей компании, коллега, показывают, что выхлоп статического анализатора это, суть, подозрения, которые нужно еще подтвердить. Можно, конечно, еще пентест добавить для объективного контроля, но мозг выключить и сесть ни в Теслу сзади, ни на яхту, на совсем не получится.

L0N3_W01F Sep 6 2017 at 01:11

К слову, мы на Tproger эту статью перевели уже год назад, когда она только вышла: https://tproger.ru/translations/js-magic-with-6-symbols/

Shannon Sep 6 2017 at 09:53

Если верить датам, то еще месяцем раньше ее перевели на хабре:
https://habrahabr.ru/post/312172/

L0N3_W01F Sep 6 2017 at 10:36

Тем более
А такие ситуации на Хабре как-то регулируются? (я просто новенький :))
Или «всё новое — хорошо забытое старое?

rami0 Sep 6 2017 at 15:11

Ох какая жесть. Я честно искал по фамилии автора перед публикацей.
Ну теперь даже не знаю что делать :)

dark_ruby Sep 6 2017 at 12:30

мне одному бросается в глаза "Java Script" написанный не слитно?

rami0 Sep 6 2017 at 15:10

поправлю спасибо

Regis Sep 6 2017 at 18:40

Почему вы не оформили статью как перевод?