ИСТИНА |
Войти в систему Регистрация |
|
ИСТИНА ИНХС РАН |
||
Рассматривается задача динамического анализа потоков данных JavaScript-кода в контексте задачи автоматизированного поиска уязвимостей класса XSS в клиентской части современных веб-приложений. Обсуждаются возможные способы решения задачи распространения меток в памяти программы. Для решения этой задачи предложен и реализован метод, основанный на переписывании абстрактного синтаксического дерева. На основе предложенного метода продемонстрирован способ разметки объектов и значений в памяти программы с последующим распространением меток по ходу ее выполнения. Представлен путь эволюции реализованного инструментария в динамический анализатор, нацеленный на поиск уязвимостей в клиентской части веб-приложений.