Post147 nn

Detectando librerías Javascript con vulnerabilidades con RetireJS


Img 2344
Misael Banales

 

Introducción

 

Hay una plétora de librerías JavaScript para usar en la web y en las aplicaciones node.js disponibles. Esto simplifica enormemente las cosas, pero tenemos que mantenernos actualizados sobre las correcciones de seguridad. "El uso de componentes con vulnerabilidades conocidas" forma ahora parte del Top 10 de OWASP y las bibliotecas inseguras pueden suponer un gran riesgo para su webapp. El objetivo de Retire.js es ayudarle a detectar el uso de versiones con vulnerabilidades conocidas.

 

Retire.Js tiene estas partes:

 

  •    Un escáner de línea de comandos
  •    Un grunt plugin
  •    Una extensión de cromo
  •    Una extensión de Firefox
  •   Burp y OWASP Zap plugin (“plugin solo para Burp profesional”)

 

Escáner de línea de comandos

 

El Escaner es una aplicación web o aplicación de nodo para usar bibliotecas JavaScript con vulnerables y/o módulos de nodo.

 

Plugin Grunt

 

grunt-retire escanea su aplicación habilitada para el uso de librerías JavaScript vulnerables y/o módulos de nodos.

 

Extensiones Chrome y Firefox

 

Escanea los sitios visitados en busca de referencias a bibliotecas inseguras y pone advertencias en la consola del desarrollador. Un icono en las pantallas de la barra de direcciones también indicará si se han cargado las bibliotecas vulnerables.

 

Complementos ZAP de Burp y OWASP

 

Retire.js ha sido adaptado como plugin para las herramientas de prueba de penetración Burp y OWASP ZAP.

 

Pasemos a la instalación en Google chrome

Link del repo; https://github.com/RetireJS/retire.js.git

 

 

Ejecutaremos el script que genera la extencion para chrome, ya que es la manera mas practica porque en otras version como burp o linea de comando se necesita instalar muchas otras liberias adicionales

 

 

Abrimos nuestro Chrome y vamos a la sección de extensiones y habilitamos el modo programador

 

 

Después damos en cargar extensión sin empaquetar y buscamos la carpeta dentro de retirejs

 

 

 

Ya una ves instalado podemos ver en cada página web que entremos las vulnerabilidades en su JavaScript

 

 



Artículos que te pueden interesar