it-swarm-es.com

¿Hay herramientas para detectar llamadas WCF / AJAX basadas en JavaScript?

Me gustaría determinar si un JavaScript dado contiene la lógica para realizar una llamada AJAX/WCF, o determinar si se está ejecutando uno en tiempo de ejecución.

¿Algo así existe algo como esto?

6

Estoy usando el plugin de Firefox llamado JavaScript DEOBFUSTOR. Esto funciona muy bien como soy capaz de ver todos los scripts que están compilados y todos los scripts ejecutados. Esto se actualiza sobre la marcha, y contiene buenos detalles sobre todos los scripts ejecutados.

También puede usar filtros para capturar solo a JavaScript en un dominio dado. Este plugin me ha ayudado mucho en la web Pentesting.

Puedes encontrarlo aquí https://addons.mozilla.org/en-us/firefox/addon/10345/

Cita de la página del plugin:

This add-on will show you what JavaScript gets to run on a web page, even if it 
is obfuscated and generated on the fly. Simply open JavaScript Deobfuscator from the
Tools menu and watch the scripts being compiled/executed.
4
Chris Dale

Si desea examinar el JavaScript, Ala Código Review, la respuesta de Joni es la mejor: busque XMLHttpRequest, pero también eval, métodos de jQuery relevantes, y también pueden incluir etiquetas de imagen, etiquetas de script , Etiquetas XML, y cualquier otra etiqueta que pueda recuperar un URI-CSS remoto incluido.

Sin embargo, si tiene la opción, sería mucho más sencillo determinar en tiempo de ejecución: simplemente adjunte un sniffer o proxy , y observe lo que sucede.
Por supuesto, aún así tendrías que asegurarte de activar las condiciones que lo designen, pero aún mucho más sencillas.

2
AviD

Simple sería solo GREP para XMLHttpRequest. Pero esto está lejos de completarse, porque hay muchas otras formas de configurar una solicitud HTTP (por ejemplo, agregando una etiqueta de imagen o script a la DOM). Además, un usuario malintencionado podría usar eval() en combinación con la ROT13 o cualquier otra función de ofuscación, y apuesto a que hay miles de otros trucos baratos. La respuesta es que tendrá que implementar un motor completo de JavaScript que ejecute el código en una caja de arena y luego rastree cualquier solicitud.

0
joni