JS Kwetsbaarheidsdetector: Verbetering van de websitebeveiliging met JavaScript Kwetsbaarheidsdetectie
JS Vulnerability Detector is een Chrome-extensie ontwikkeld door randysekvojta. Deze extensie is het resultaat van een Master Thesis-project aan de Technische Universiteit van Brno, Faculteit Informatietechnologie, voltooid in. Het belangrijkste doel van deze extensie is om beveiligingsfuncties toe te voegen aan websites die kwetsbare JavaScript-bibliotheekcode bevatten.
Bij het laden van een webpagina scant JS Vulnerability Detector alle JavaScript-code op de pagina en stuurt deze naar het achtergrondscript voor verwerking. Als het script een bekende kwetsbaarheid bevat, met name gericht op jQuery, houdt de extensie dit bij en toont het in de pop-up. Gebruikers hebben de mogelijkheid om het kwetsbare script te blokkeren, te patchen of eenvoudigweg te volgen.
Alle gegevens worden lokaal opgeslagen en kunnen worden gewist met de knop "Wissen" in de extensiepop-up. Er is geen communicatie met de server betrokken, waardoor er geen gegevens de browser verlaten.
JS Vulnerability Detector werkt in vier modi: uitgeschakeld, analyseren, blokkeren en repareren. In de analysemodus wordt alleen standaardanalyse uitgevoerd zonder het patchen of blokkeren van kwetsbare scripts. De blokkeermodus verwijdert kwetsbare scripts van de website, terwijl de reparatiemodus probeert de kwetsbaarheden indien mogelijk te patchen.
Op dit moment kan de extensie kwetsbare versies van jQuery detecteren tot en repareren door ze tijdens runtime bij te werken. Het kan ook kwetsbaarheden detecteren in andere JavaScript-bibliotheken zoals lodash, remarkjs, axios, handlebars en meer, in totaal ongeveer 30 kwetsbaarheden.
