Co to jest DOM Snitch?
DOM Snitch jest eksperymentalne rozszerzenie Chrome, który pozwala testerów niezwiązane z zabezpieczeniami określenia wspólnych złych praktyk przy produkcji kodu po stronie klienta i testery bezpieczeństwa lepiej zrozumieć przemian zachodzących w DOM.
Aktualne możliwości
Umiejętność słuchania modyfikacji DOM i zebrać dane na temat debugowania tych zmian
Możliwość sortowania i grupę zebranych informacji, oznacza uproszczenie procesu analizy tych danych
Możliwość pasywnie i znak jako błędy lub ostrzeżenia, niektóre łatwe do wykrycia problemów z bezpieczeństwem, w tym:
Używa danych użytkownika, które pochodzi z kontrolowanych albo URL, odsyłających, lub ciasteczka podczas konstruowania modelu DOM, gdzie dane są również sprawdzane zawierających znaki HTML escape (tj "")
Wykorzystanie skryptów, które nie są przechowywane w domenie aplikacji
Wykorzystanie skryptów, które wynikałyby w mieszanych błędów treści
Korzysta z nieprawidłowej składni JSON, w wyniku korzystania z eval (), w przeciwieństwie do znacznie bezpieczniejsze funkcji alternatywnej (np JSON.parse ())
Do zadań document.domain do niczego, ale wartości oryginalnej nazwy hosta aplikacji (w podanej przez przeglądarkę w czasie renderowania)
Możliwość eksportowania wszystkich lub podzbiory zgromadzonych danych w postaci zwykłego tekstu lub poprzez Google Docs
Komentarze nie znaleziono