Hva er DOM Snitch?
DOM Snitch er et eksperimentelt Chrome utvidelse som gjør det mulig for ikke-sikkerhetstestere identifisere felles dårlig praksis når de produserer klientsiden kode og sikkerhetstestere få bedre forståelse av de transformasjoner som skjer i DOM.
Nåværende evner
Evne til å lytte til DOM modifikasjon og samle debug data om disse endringene
Evne til å sortere og gruppen samlet informasjon som betyr å forenkle analyseprosessen av disse dataene
Evne til å passivt oppdage og mark som feil eller advarsler noen enkle å få øye på sikkerhetsspørsmål, inkludert:
Bruk av brukerstyrt data som kommer fra enten URL, referent, eller informasjonskapsler mens konstruere DOM hvor dataene er også kontrollert for som inneholder HTML escape-tegn (dvs. "')
Bruk av skript som ikke er vert på søknaden domene
Bruk av skript som ville resultere i blandede feil innhold
Bruk av ugyldige JSON syntaksen, noe som resulterer i bruk av EVAL () i motsetning til en mye tryggere alternativ funksjon (f.eks JSON.parse ())
Oppdrag av document.domain til noe, men programmets opprinnelige vertsnavn verdi (som er gitt av nettleseren ved å gjengi tid)
Evne til å eksportere hele eller undergrupper av innsamlede data som ren tekst eller via Google Dokumenter
Kommentarer ikke funnet