我通常会下载几个 jQuery 插件。如何检查脚本是否在窃取任何信息(例如用户 cookie、会话 id..)并发送到其开发人员的服务器?
在 php 中,我们通过查找一些函数(system、passthru、shell_exec 等)来检查后门脚本。JavaScript 中是否有任何此类函数可以连接到其开发人员站点?
问问题
66 次
2 回答
2
我认为除了阅读整个代码并检查它是否在窃取任何东西之外,你别无他法。您可以做的另一件事是在代码中搜索诸如“document.cookie”和“navigator”之类的词以及窃取信息所需的其他内容。
于 2012-04-22T07:24:19.560 回答
2
显然,您的第一步应该是阅读代码。您可以查找许多迹象,包括在代码中查找 URL 以及任何加密代码。
当然,有些代码可能太复杂而无法成为现实的建议,特别是如果它已被缩小和混淆,但应该可以扫描它。如果它正在做这样的事情,它将使用与您自己的站点通信时使用的相同函数(即 jQuery 的 ajax 函数),因此您不会看到引起怀疑的特定函数调用,但会在代码中看到可疑的 URL应该检查出来,你绝对应该避免加密代码(混淆通常是可以的,但不加密)。
其次,在互联网上搜索其他评论该插件的人。如果有什么不愉快的事情发生,很可能其他人会注意到它。避免使用没有足够用户以一种或另一种方式获得任何评论的插件。
最后,使用 Firebug 之类的工具来监视在您使用包含该插件的站点时发生的 HTTP 请求。如果它正在与基地通信,它就无法躲避你;浏览器的调试工具会很高兴地向您展示您需要了解的内容。
希望有帮助。
于 2012-04-22T20:12:37.570 回答