Comments 20
Ну что я могу сказать? JavaScript очень… Эээ… Гибкий, во! Гибкий и удивительный. И беспощадный.
Не нашел ответа на вопрос из заголовка. Так почему анализ защищенности-то не того?
Ну вы извините, но "Когда-то ebay решил, что" говорит только об уровне интеллекта тамошних программистов — не более того. Делать из этого глубокие выводы — это как-то непредусмотрительно.
Насколько я понял, тут предлагается что-то типа кодирования Черча для js кода под названием jsfuck. Это конечно интересно — но в целом далеко не ново.
Ну, и как вы такое автоматизируете?
Ну, интерпретатору вообще говоря все равно, что интерпретировать. Статический анализ это может и поломает, но от него в случае js и так не слишком много толку. Поломает наколенные методы защиты на базе регулярок — ну так туда им и дорога.
Ну в общем, заголовок все равно кажется слегка желтоватым.
Если вы приведете пример успешной автоматизации поиска уязвимостей в Java Script причем желательно такой, чтобы еще выдавал на выходе готовый экслойт, буду благодарен!
Ну, на самом деле я бы просто попробовал сформулировать немного иначе — чтобы не было излишнего обобщения (про "все методы" — что скорее всего неверно), и возможно в тексте уточнить (а не только в виде ссылки куда-то), почему именно (потому что производительность анализа слишком плохая, например).
К сожалению, предложить конкретный вариант заголовка не могу — не приходит в голову.
Добрыми людьми, внедрение статических анализаторов, предлагается как часть процесса, включая всякую динамику и анализ головой как результатов работы автоматических тулзов, так и всякие исследования.
По существу же, моя практика и статьи Вашей компании, коллега, показывают, что выхлоп статического анализатора это, суть, подозрения, которые нужно еще подтвердить. Можно, конечно, еще пентест добавить для объективного контроля, но мозг выключить и сесть ни в Теслу сзади, ни на яхту, на совсем не получится.
К слову, мы на Tproger эту статью перевели уже год назад, когда она только вышла: https://tproger.ru/translations/js-magic-with-6-symbols/
https://habrahabr.ru/post/312172/
мне одному бросается в глаза "Java Script" написанный не слитно?
Почему вы не оформили статью как перевод?
Почему анализ защищенности JavaScript нельзя по настоящему автоматизировать?