怎样使用js-x-ray检测JavaScript和node . js中的常见恶意行为

检索js所需的依赖项和文件;

检测不安全的正则表达式;

当AST分析出现问题或无法遵循语句时获取警告;

突出显示常见的攻击模式和API调用;

能够跟踪并分析危险的js全局使用;

检测经过混淆处理的代码,并在可能的情况下检测已使用的工具;

工具安装

js-x-ray包可以直接从节点包代码库中直接获取,或者使用npm或纱来进行在线安装:

工具使用

使用下列内容创建一个本地js文件:

 try , {
　　,,,需要(“http");
　　}
　　catch (错),{
　　,,,//do 没什么
　　}
　　const  lib =,“crypto";
　　要求(自由);
　　要求(“util");
　　要求(Buffer.from (“6673”,,,“hex") .toString ()); 

接下来,使用“js-x-ray”命令来对目标JavaScript代码进行分析:

 const  {, runASTAnalysis },=,要求(“js-x-ray");
　　{const  readFileSync },=,要求(“fs");
　　const  str =, readFileSync (“。/file.js",,“utf-8");
　　const {,警告,dependencies },=, runASTAnalysis (str);
　　const  dependenciesName =,[…]依赖关系);
　　const  inTryDeps =, […] dependencies.getDependenciesInTryStatement ());
　　console.log (dependenciesName);
　　console.log (inTryDeps);
　　console.log(警告);

分析将返回http、加密、实效和fs。

在该项目的情况下目录下还提供了很多可以分析的可疑代码示例,感兴趣的同学可以使用js-x-ray来对它们进行分析。

返回的警告

<强> <强>名称

<强> <强>描述

解析错误

使用meriyah解析JavaScript代码时出的错。这意味着从字符串到AST的转换失败了。

unsafe-import

无法跟踪导入(需要require.resolve)语句/expr。

unsafe-regex

正则表达式已被检测为不安全,可能被用于重做攻击。

unsafe-stmt

使用了危险的语句,例如,eval()或函数(“”)。

unsafe-assign

分配了一个受保护的全局进程。

encoded-literal

检测到已编码的文本(可以是六进制值,unicode序列,Base64字符串等)。

short-identifiers

这意味着所有标识符的平均长度都低于1.5。仅当文件包含5个以上标识符时才可能返回。

suspicious-literal

这意味着所有文字的可疑分数之和大于3 .

混淆代码(<强> <强>实验 )

代码可能经过了混淆处理。

API runASTAnalysis

 interface  RuntimeOptions  {
　　
　　,,,模块:,布尔;
　　
　　,,,isMinified吗?,布尔;
　　
　　}

该方法接收的第一个参数就是我们需要分析的代码,它将返回一个报告对象:

 interface  Report  {
　　
　　,,,的依赖关系:,ASTDeps;
　　
　　,,,的警告:,Warning [];
　　
　　,,,idsLengthAvg:,数量;
　　
　　,,,stringScore:,数量;
　　
　　,,,isOneLineRequire:,布尔;
　　
　　}

generateWarning

 interface  WarningOptions  {
　　
　　,,,地点:,位置;
　　
　　,,,文件?:,字符串;
　　
　　,,,的价值?:,字符串;
　　
　　}
怎样使用js-x-ray检测JavaScript和node . js中的常见恶意行为