一千萬個為什麽

搜索

使用Python在HTML頁面上檢測JavaScript

我目前正在開發一個網絡安全項目,用於檢查網站上的XSS漏洞,希望可以用於那裏的筆測試者(如果你不相信我,並認為我是某種腳本小夥子,這裏是課堂網站: http://netsec.cs.northwestern.edu/projects/ )。

所以,我在給定的HTML頁面上檢測JavaScript時遇到問題。我花了很多時間安裝PyV8和V8,似乎他們可以評估簡單的JavaScript語句。但是,對於更復雜的JavaScript問題,例如警報框,PyV8似乎不支持它。所以,我懷疑我是否可以為PyV8提供一些任意的JavaScript代碼並希望它能給我相應的JavaScript輸出。

我確實在DrEval中找到了這個JS服務器/客戶端,但它似乎不適用於最新版本的V8/PyV8。

請幫忙!我的項目將在今天大約一周後到期,班上沒有人似乎能夠幫助我,因為這是一個相當奇怪的問題。

嗯..如果這個問題之前已在其他地方得到解答,我會事先道歉。我確實搜索了這個話題至少2個小時..

在此先感謝您的回復!

最佳答案

我不確定你想做什麽,但這裏有一些想法:

  1. If you want to run JavaScript code in the context of a web page, you need a browser or an emulation of one. Try envjs. It needs Java, though, because it needs a JavaScript interpreter.

    I'm not aware of a library which offers the same functionality for Python. Maybe you can fix that. envjs is written mostly in JavaScript but it needs some support functions from the interpreter (printing to the console, downloading data, opening files).

  2. XSS vulnerabilities happen if you can inject JavaScript code into a page, no matter what code already exists. So you need to check all fields of a form, post the form to the server and then check that it properly escapes all values on the next page.

轉載註明原文: 使用Python在HTML頁面上檢測JavaScript