发布公告 – 2020 年 9 月 23 日

作者 米歇尔·普鲁伊特 | 2020 年 9 月 23 日 | 新闻稿 | 0条评论

Kiuwan 团队很高兴地宣布我们最新版本的可用性，它具有对 JSX React 的扩展支持，能够检查使用 Angular 框架构建的动态组件； 以及 Jenkins 的更新插件。

角度动态组件

我们在此版本中扩展了对 JavaScript 的支持。 现在，Kiuwan 能够检查在 Angular 框架中构建的动态组件。

使用动态组件构造的潜在漏洞与其他类型的“eval 注入”问题相同，如 CWE-95 的描述：动态评估代码中指令的不当中和（“Eval 注入”）。 动态组件构造使攻击者有可能“执行任意代码，或至少修改可以执行的代码”，从而可能使攻击者完全控制浏览器环境。

JSX React

此前，Kiuwan 的 JavaScript 实现提供了对 React 的部分支持。 现在，这种支持通过 JSX 技术得到了扩展。

JSX，或 JavaScript XML，是 React 库的 ECMAScript 部分的类 XML 语法扩展。 完整的规范可在 Draft: JSX Specification 中找到。

以下元素已被确定为潜在的安全漏洞，并被现有的 JS 规则检测到：

1.dangerouslySetInnerHTML 属性充当执行 XSS 攻击的入口（参见 dangerouslySetInnerHTML）。
2.在使用 Redux 的 React 应用程序中服务器端呈现攻击者控制的初始状态 XSS。
3.XSS 在显式调用 React.createElement(…) 时使用不受信任的 props 或子项（请参阅在 React 中避免 XSS 仍然很困难）。
4.属性注入也会导致XSS。

在 React 中，HTML 代码嵌入到 JS 代码中，因此必须检查 HTML 代码以标记 sources、sinks 或 neutralization

此外，Kiuwan 使用 HTML 技术的规则分析嵌入的 HTML 代码。 可以应用以下现有检查：

• OPT.HTML.AutocompleteOnForSensitiveFields.
• OPT.HTML.MissingPasswordFieldMasking.
• OPT.HTML.TargetBlankVulnerability.
• OPT.HTML.SandboxAllowScriptsAndSameOrigin.
• OPT.HTML.SpecifyIntegrityAttribute.

用于 Jenkins 更新的 Kiuwan 插件

Jenkins 的 Kiuwan 插件允许您将 Kiuwan 分析作为构建后操作或管道步骤执行。 如需完整文档或下载插件，请参阅以下链接：

• Jenkins插件
• jenkinsci/kiuwan-插件

在此版本中，我们更新了 Jenkins 的 Kiuwan 插件，如下所述：

• 连接配置文件：以前，Kiuwan Jenkins 插件的连接设置仅限于每个 Jenkins 安装的一个配置。 现在，您可以设置多个配置文件，可以使用多个帐户，并且 Kiuwan On-Premises 客户可以使用不同的环境。
• 新的分析结果仪表板。
• 改进了对短期节点的支持。
• 管道支持。

其他错误修复和改进

有关其他错误修复和改进的完整列表，请参阅我们的更改日志。