DSJS - JS Scanner
@webwareЭто полностью функциональный сканер уязвимостей JavaScript, написанный в 100 строк кода. В настоящее время, сканер проверяет уязвимые версии следующих библиотек JavaScript: angularjs, backbone, dojo, easyXDM, ember, handlebars, jPlayer, jquery, jquery-migrate, jquery-mobile, jquery-ui-autocomplete, jquery-ui-dialog, jquery-ui -tooltip, jquery.prettyPhoto, усы, plupload, prototypejs, sessvars, YUI.
Установка и запуск
git clone https://github.com/stamparm/DSJS
cd DSJS
python dsjs.py
Проверяем одну из соцсетей...
Уязвимости найдены.
Проверим еще парочку
А на этих сайтах, утилита не нашла уязвимости.
Чем опасны эти уязвимости? А тем, чтоо позволяет злоумышленникам получать доступ к конфиденциальной информации, изменять хранящуюся на сайте информацию и многое другое, а в том числе, провести атаку CSRF, которая заставляет пользователя невольно совершить один или несколько HTTP-запросов к уязвимому сайту. А JavaScript Hijacking более опасен, так как также компрометирует конфиденциальность – атакующий может читать данные жертвы.
Сейчас меня тапками закидают, установку и запуск в скрине оставил.