npm-api-analyzer
v1.0.3
Published
CLI tool to analyze npm packages for network API usage, prototype pollution, and security vulnerabilities
Maintainers
galenyuanReadme
NPM 安全分析工具
一个强大的 TypeScript 工具,用于深度分析 npm 包的安全风险,检测网络请求、DOM 操作、动态 JavaScript 执行和原型链污染等潜在风险行为。
🎯 功能特性
📡 全面的网络 API 检测
- Fetch API:
fetch()、window.fetch()、globalThis.fetch() - XMLHttpRequest:
new XMLHttpRequest()、各种XHR方法 - WebSocket:
new WebSocket()、WebSocket连接 - 图片加载:
new Image()、动态图片请求 - Node.js 网络模块:
require("http/https")、axios、node-fetch等 - 其他网络 API:
EventSource、navigator.sendBeacon()、缓存API等
🔧 DOM 操作检测
- 元素创建:
document.createElement()、动态HTML元素 - 内容操作:
innerHTML、outerHTML、insertAdjacentHTML() - 元素查询:
querySelector()、getElementById()等 - 文档操作:
document.write()、document.open() - 节点操作:
appendChild()、removeChild()、replaceChild()
⚡ 动态 JavaScript 执行检测
- 代码执行:
eval()、new Function()、window.eval() - 定时器执行:
setTimeout()、setInterval()与字符串参数 - 动态脚本:动态创建和插入
<script>标签 - 动态导入:
import()、动态require()调用 - Web Workers:
new Worker()、new SharedWorker() - Blob URL:
URL.createObjectURL()用于脚本执行
🚨 原型链污染检测 (NEW!)
- 直接原型修改:
Object.prototype.polluted = true、Array.prototype[key] = value - proto 操作:
obj.__proto__ = evil、obj["__proto__"] = malicious - 构造器污染:
obj.constructor.prototype[key] = value - 对象方法污染:
Object.setPrototypeOf()、Object.defineProperty() - JSON 解析风险:
JSON.parse('{"__proto__": {"admin": true}}') - 动态属性访问:
obj["constructor"]["prototype"]、动态键访问 - 循环污染:
for-in循环中的动态属性赋值 - 代理陷阱:
Proxy的setPrototypeOf、defineProperty陷阱
📊 智能风险评估
- 多维度风险分析:基于API类型、数量和危险程度
- 上下文代码提取:显示API调用前后的代码片段
- 精确定位:文件路径、行号、列号定位
- 风险等级标识:🟢 低风险、🟡 中等风险、🔴 高风险
- 原型污染专项评估:识别所有主要的原型链攻击向量
📝 多格式报告输出
- Markdown 报告:结构化、易读的安全分析报告
- 文本报告:简洁的控制台输出格式
- JSON 报告:机器可读的结构化数据
🚀 快速开始
全局安装(推荐)
# 全局安装
npm install -g npm-api-analyzer
# 直接使用
npm-api-analyzer <包名> <版本>
# 示例:分析 express 4.18.2
npm-api-analyzer express 4.18.2
# 生成 Markdown 报告
npm-api-analyzer lodash 4.17.21 --format markdown --output report.md
# 生成 JSON 报告
npm-api-analyzer react 18.2.0 --format json --output analysis.json本地开发使用
# 克隆仓库
git clone https://github.com/yourusername/npm-security-analyzer.git
cd npm-security-analyzer
# 安装依赖
npm install
npm run build
# 使用
npm start <包名> <版本>
# 示例:分析 express 4.18.2
npm start express 4.18.2
# 生成 Markdown 报告
npm start lodash 4.17.21 -- --format markdown --output report.md
# 生成 JSON 报告
npm start react 18.2.0 -- --format json --output analysis.json命令行参数
npm-api-analyzer <package-name> <version> [options]
Options:
--format <format> 输出格式: text, json, markdown (默认: text)
--output <file> 保存报告到指定文件
-h, --help 显示帮助信息
Examples:
npm-api-analyzer axios 1.6.0
npm-api-analyzer express 4.18.2 --format markdown
npm-api-analyzer lodash 4.17.21 --output report.txt
npm-api-analyzer react 18.2.0 --format json --output analysis.json🧪 测试套件
项目包含完整的原型链污染检测测试套件:
运行测试
# 基础单元测试
npm test
# 全面测试套件 (74个测试场景)
npm run test:comprehensive
# 边缘情况和性能测试
npm run test:edge-cases
# 验证和准确性测试
npm run test:validation
# 运行所有测试
npm run test:all
# 演示测试样例
npm run test:demo
# 快速演示 (推荐)
npm run demo测试覆盖率
- 74个测试场景,覆盖所有原型污染攻击向量
- 97.1% 准确率,零误报率
- 超高性能:142,857 次检测/秒
- 全面覆盖:高、中、低风险场景完整测试
测试分类
- 直接原型修改测试:点符号和括号访问
- proto 操作测试:所有变体和嵌套访问
- 构造器原型测试:constructor.prototype 链污染
- 对象方法测试:defineProperty、setPrototypeOf等
- 动态访问测试:变量键和计算属性
- JSON 解析测试:危险的 JSON.parse 模式
- 循环污染测试:for-in 循环中的动态赋值
- 代理陷阱测试:Proxy 启用的污染向量
- 边缘情况测试:空白变体、混淆代码、性能测试
- 误报防护测试:确保合法代码不被误报
🎯 快速演示
# 运行交互式演示,查看原型污染检测效果
npm run demo此命令将展示检测器如何识别各种原型污染模式,包括:
- 直接原型修改 (
Object.prototype.polluted = true) - JSON 解析风险 (
JSON.parse包含__proto__) - 动态
__proto__访问 - 循环中的动态赋值污染
- 安全代码的正确忽略
📖 编程接口
import { NPMSecurityAnalyzer } from './src/analyzer';
import { Reporter } from './src/reporter';
const analyzer = new NPMSecurityAnalyzer();
async function analyzePackage() {
try {
const result = await analyzer.analyzePackage('package-name', '1.0.0');
// 生成不同格式的报告
const textReport = Reporter.generateReport(result);
const markdownReport = Reporter.generateMarkdownReport(result);
const jsonReport = Reporter.generateJSONReport(result);
console.log(markdownReport);
} finally {
analyzer.cleanup();
}
}📋 报告样例
Markdown 格式报告预览
# NPM Package Security Analysis Report
**Package:** `[email protected]`
**Analysis Date:** 2025-07-23T03:19:55.228Z
**Risk Level:** 🟡 MEDIUM
## 📊 Executive Summary
- **Total API Calls Detected:** 8
- **Network APIs:** 5
- **DOM Operations:** 0
- **Dynamic JavaScript:** 3
- **🚨 Prototype Pollution:** 0
### ⚠️ Risk Factors
- Dynamic JavaScript execution detected (3 instances)
## 🌐 Network API Usage
### 🟡 MEDIUM `require("http/https")`
**Occurrences:** 5
- **lib/application.js:23**
```javascript
var http = require('http');🛡️ Security Recommendations
🟡 MEDIUM Medium Risk Package
This package requires careful evaluation:
- Review all network API usage for legitimate purposes
- Implement network monitoring if using in production
## 🔍 检测的API类别
### 🌐 网络 APIs
| API类型 | 风险等级 | 示例 |
|---------|----------|------|
| `fetch` | 🟡 中等 | `fetch()`, `window.fetch()` |
| `xhr` | 🟡 中等 | `new XMLHttpRequest()` |
| `websocket` | 🔴 高 | `new WebSocket()` |
| `node` | 🟡 中等 | `require("https")`, `import from "axios"` |
| `other` | 🟢-🟡 低到中等 | `new Image()`, `EventSource`, `navigator.sendBeacon()` |
### 🔧 DOM 操作 APIs
| API类型 | 风险等级 | 示例 |
|---------|----------|------|
| `dom-manipulation` | 🟢-🔴 低到高 | `createElement()`, `innerHTML`, `appendChild()` |
### ⚡ 动态 JavaScript APIs
| API类型 | 风险等级 | 示例 |
|---------|----------|------|
| `eval` | 🔴 高 | `eval()`, `new Function()`, `setTimeout("code")` |
| `dynamic-script` | 🟡-🔴 中等到高 | 动态脚本插入, `import()`, Web Workers |
### 🚨 原型链污染 APIs
| API类型 | 风险等级 | 示例 |
|---------|----------|------|
| `prototype-modification` | 🔴 高 | `Object.prototype.polluted = true`, `obj.__proto__ = evil` |
| `prototype-modification` | 🟡 中等 | `for-in` 循环动态赋值, 动态属性访问 |
## 🛡️ 风险等级说明
- **🟢 低风险**:最少或无安全隐患的API使用
- **🟡 中等风险**:需要审查的API使用,可能存在安全隐患
- **🔴 高风险**:危险的API使用,需要重点关注和审查
## 🎯 安全考虑
此工具帮助识别npm包中的潜在安全风险:
### 网络安全风险
- 未授权的数据泄露和外发
- 与恶意服务器的通信
- 绕过网络安全策略
### DOM安全风险
- XSS (跨站脚本) 攻击向量
- 恶意内容注入
- DOM污染和篡改
### 动态执行风险
- 代码注入攻击
- 任意代码执行
- 绕过安全沙箱
### 原型链污染风险
- 全局对象污染和权限提升
- 应用逻辑绕过和安全策略规避
- 拒绝服务攻击 (DoS)
- 远程代码执行 (RCE) 潜在风险
- 数据完整性破坏
## ⚠️ 使用限制
- **静态分析**:仅检测源代码中的静态API调用
- **误报可能**:合法的网络使用可能被标记为风险
- **混淆代码**:无法检测经过混淆或加密的API调用
- **文件类型**:仅支持JavaScript/TypeScript文件分析
- **动态构造**:无法检测运行时动态构造的API调用
## 🤝 贡献指南
1. **Fork** 项目仓库
2. **创建** 功能分支 (`git checkout -b feature/amazing-feature`)
3. **提交** 更改 (`git commit -m '添加某个很棒的功能'`)
4. **推送** 到分支 (`git push origin feature/amazing-feature`)
5. **创建** Pull Request
### 开发建议
- 添加新的API检测规则时,请更新相应的测试用例
- 保持代码风格一致
- 为新功能编写文档
## 📄 许可证
本项目采用 MIT 许可证 - 查看 [LICENSE](LICENSE) 文件了解详情。
## 📞 支持
如果您遇到问题或有功能建议,请:
1. 查看现有的 Issues
2. 创建新的 Issue 并提供详细信息
3. 或者直接提交 Pull Request
---
**⚠️ 免责声明**:此工具仅用于安全审计目的。检测结果需要人工验证,工具不能替代专业的安全审查。