已知易受攻击的库:Tarnish将使用retire.js检查目标扩展中是否使用了已知的易受攻击的Javascript库。
除了之前提到的 Retire.js、Censys 和 Fingerprintjs2,还有一些开源的工具可以用于逆向解析 web 网站使用的第三方库。
TheHackerDev/race-the-web RestfulHarvest secsi/restfulharvest https://github.com/laramies/theHarvester Retire.js...secsi/retire https://github.com/RetireJS/retire.js RouterSploit secsi/routersploit https://github.com
关于这个的挖掘,直接上工具吧——Retire.js Retire.js是一个可以识别应用程序使用的老旧JavaScript框架的工具 该工具可以用作独立工具,浏览器扩展,grunt插件或Burp / ZAP
来自RetireJS的Erlend Oftedal认为安全是每个人的问题,需要更多的协作:“我希望看到流行的开源框架的作者自己开始向Retire.js等工具报告安全修复,以便保护他们软件的用户更安全“。
可以在管道中插入其他安全技术: 使用OWASP Dependency-Check或Retire.js之类的软件组成分析工具检查导入的库将检测开发人员使用的开源库上的许可风险和已知漏洞; 通过使用例如Inspec
概览如下: 语言 使用项目 JavaScript (npm, yarn) gemnasium, Retire.js Python (pip) (only requirements.txt supported
如Retire.js之类的扫描器可以帮助发现此类漏洞,但这类漏洞是否可以被利用还需花费额外的时间去研究。 10:不足的日志记录和监控 对不足的日志记录及监控的利用几乎是每一个重大安全事件的温床。
它使用多个漏洞数据库,包括 CVE、NVD、OSS Index 等,以及多种扫描引擎,包括 Sonatype OSS Index、Retire.js 等。
利用如 versions、DependencyCheck 、retire.js等工具来持续的记录客户端和服务器端以及它们的依赖库的版本信息。
利用如versions、DependencyCheck、retire.js等工具来持续的记录客户端和服务 器端以及它们的依赖库的版本信息。持续监控如CVE和NVD等是否发布已使用组件 的漏洞信息。
2.5 Burp扩展 工具 描述 Burp Extender 用于扩展Burp suite功能的API,可以在BApp商店获取 Retire.js (BApp) 用于检测版本落后的Javascript组件漏洞的
(参见"A05:2021–安全配置错误") 预防措施 应制定一个补丁管理流程: 移除不使用的依赖、不需要的功能、组件、文件和文档 利用如Versions、OWASP Dependency Check、Retire.js
www.npmjs.com/package/restore-source-tree https://github.com/paazmaya/shuji 子域名信息 依赖或框架,对于旧依赖或框架可以直接使用retire.js
领取专属 10元无门槛券
手把手带您无忧上云