有大量的JavaScript库可用于web和node.js应用程序。这大大简化了,但我们需要不断更新安全补丁。“使用具有已知漏洞的组件”现在是OWASP前10名而且不安全库可能会给您的webapp带来巨大风险。Retire.js的目标是帮助您检测使用已知漏洞。
Retire.js包含以下部分:
- 命令行扫描仪
- 咕噜声插件
- Chrome扩展
- Firefox扩展
- Burp和ZAP插件
命令行扫描仪
扫描web应用程序或节点应用程序,查看是否使用了易受攻击的JavaScript库和/或节点模块。
Grunt插件
呼噜声扫描启用了grunt的应用程序,查看是否使用了易受攻击的JavaScript库和/或节点模块。
Chrome和Firefox扩展
扫描访问的站点是否引用了不安全的库,并在开发人员控制台中发出警告。如果加载了易受攻击的库,地址栏上还会显示一个图标。
Burp和ZAP插件
Retire.js已被改编为插件用于Burp Suite和作为附加组件对于ZAP。
漏洞
这些是Retire.js当前检测到的漏洞JavaScript库
节点包