Hvad er DOM Snitch?
DOM Snitch er en eksperimentel Chrome udvidelse, der gør det muligt for ikke-sikkerhedsrelaterede testere identificere fælles dårlig praksis ved fremstilling af client-side kode og sikkerhedstestere få bedre forståelse af de transformationer, der opstår inden for DOM.
Aktuelle kapaciteter
evne til at lytte til DOM modifikation og indsamle debug data om disse ændringer
Mulighed for at sortere og gruppere indsamlede oplysninger som middel til at forenkle analysen processen med disse data
Evne til passivt opdage og varemærke som fejl eller advarsler nogle nemme at få øje på sikkerhedsspørgsmål, herunder:
Anvendelse af brugerstyret data, der kommer fra enten URL, referrer eller cookies, mens konstruere DOM hvor data også kontrolleret for indhold af HTML escape-tegn (dvs. "')
Anvendelse af scripts, som ikke er vært på programmet domæne
Anvendelse af scripts, som ville resultere i blandet indhold fejl
Anvendelse af ugyldig JSON syntaks, hvilket resulterer i anvendelsen af EVAL () i modsætning til et meget sikrere alternativ funktion (f.eks JSON.parse ())
Opgaver for document.domain til noget, men programmets oprindelige værtsnavn værdi (som angivet af browseren på rendering tid)
Mulighed for at eksportere alle eller delmængder af indsamlede data som almindelig tekst eller via Google Dokumenter
Kommentarer ikke fundet