I've used skipfish and Burp Suite previously on 'standard' web applications.
However I'm now writing more and more single-page apps, in my case with backbone.js.
Is there anyway to scan these with software? Aside from just testing your API urls explicitly?
JSLint 和 Dominator 是对评估 JavaScript 很有用的两个工具。
JSLint是 Douglass Crockford 编写的 JavaScript 代码质量工具。虽然它的目的不仅仅是分析代码的安全性,但它会突出显示不安全和糟糕的技术,这些技术会使您的应用程序更容易出错并且可能容易受到安全问题的影响。同样,它本身不是安全工具,但它仍然很有用。
Dominator是一款基于 Firefox 的软件,可帮助识别网站中的 DOM XSS 问题。一般来说,您可以只浏览一个页面并在运行应用程序时使用它,它会突出显示并提醒您它认为是安全问题的地方。它有相当多的误报,但我在使用这个工具时发现了一些错误。我相信它也有一个内置的模糊器,但我没有太多使用这个功能。
另一个有用的工具是grep. 不要低估通过搜索已知的危险功能并确保以安全的方式使用它们可以找到多少错误。