Post147 nn1

Detectando librerías Javascript con vulnerabilidades con RetireJS


Img 2344
Misael Banales

Introducción

Hay una plétora de librerías JavaScript para usar en la web y en las aplicaciones node.js disponibles. Esto simplifica enormemente las cosas, pero tenemos que mantenernos actualizados sobre las correcciones de seguridad. "El uso de componentes con vulnerabilidades conocidas" forma ahora parte del Top 10 de OWASP y las bibliotecas inseguras pueden suponer un gran riesgo para su webapp. El objetivo de Retire.js es ayudarle a detectar el uso de versiones con vulnerabilidades conocidas.

 

Retire.Js tiene estas partes:

 

  •    Un escáner de línea de comandos
  •    Un grunt plugin
  •    Una extensión de cromo
  •    Una extensión de Firefox
  •   Burp y OWASP Zap plugin (“plugin solo para Burp profesional”)

 

Escáner de línea de comandos

 

El Escáner es una aplicación web o aplicación de nodo para usar bibliotecas JavaScript con vulnerables y/o módulos de nodo.

 

Plugin Grunt

 

grunt-retire escanea su aplicación habilitada para el uso de librerías JavaScript vulnerables y/o módulos de nodos.

 

Extensiones Chrome y Firefox

 

Escanea los sitios visitados en busca de referencias a bibliotecas inseguras y pone advertencias en la consola del desarrollador. Un icono en las pantallas de la barra de direcciones también indicará si se han cargado las bibliotecas vulnerables.

 

Complementos ZAP de Burp y OWASP

 

Retire.js ha sido adaptado como plugin para las herramientas de prueba de penetración Burp y OWASP ZAP.

 

Pasemos a la instalación en Google chrome

Link del repo; https://github.com/RetireJS/retire.js.git

 

 

Ejecutaremos el script que genera la extensión para chrome, ya que es la manera más práctica porque en otras versión como burp o línea de comando se necesita instalar muchas otras librerías adicionales.

 

 

Abrimos nuestro Chrome y vamos a la sección de extensiones y habilitamos el modo programador

 

 

Después damos en cargar extensión sin empaquetar y buscamos la carpeta dentro de retirejs

 

 

 

Ya una vez instalado podemos ver en cada página web que entremos las vulnerabilidades en su JavaScript

 

 



Artículos que te pueden interesar


ZENMAP Es la interfaz gráfica oficial para Nmap. Es Opensource y multiplataforma, desarrollada con el objetivo de ser fácil de utilizar para los... Sheyla Leacock


Continuar Leyendo

El término CRLF se refiere al retorno de carro (ASCII 13, \r) de un avance de línea (ASCII 10, \n). Normalmente estamos acostumbrados a notar la... Omar Jacobo Muñoz Veliz


Continuar Leyendo

Compartiendo con unos colegas surge un proyecto de cloud que tenía en mente para unas clases, implementar una nube privada, la mayoría de los pr... José Moreno


Continuar Leyendo