Che cos'è DOM Snitch?
DOM Snitch è un'estensione Chrome sperimentale che consente tester non-sicurezza identificano cattive pratiche comuni nella produzione di codice lato client e tester di sicurezza acquisire una migliore comprensione delle trasformazioni che avvengono all'interno del DOM.
Capacità attuali
Possibilità di ascoltare la modifica DOM e raccogliere dati di debug su queste modifiche
Possibilità di ordinare e gruppo raccolto informazioni come mezzo per semplificare il processo di analisi di questi dati
La capacità di rilevare passivamente e segnare come errori o avvisi alcuni facili da individuare i problemi di sicurezza, tra cui:
Utilizza dei dati utente-controllato che proviene sia da URL, referrer, o biscotti, mentre la costruzione DOM in cui i dati sono anche controllato per contenere caratteri di escape HTML (cioè "')
Gli usi delle script che non sono ospitati al dominio dell'applicazione
Usi di script che si tradurrebbe in errori di contenuto misto
Utilizza sintassi JSON valido, conseguente all'uso di eval () al contrario di una funzione alternativa molto più sicuro (ad esempio JSON.parse ())
Assegnazioni di document.domain a tutt'altro valore hostname originale dell'applicazione (come indicato dal browser al tempo di rendering)
Possibilità di esportare tutto o sottoinsiemi di dati raccolti come testo semplice o tramite Google Docs
I commenti non trovato