Was ist DOM Snitch?
DOM Snitch ist eine experimentelle Chrome-Erweiterung, nicht sicherheits Tester identifizieren gemeinsame schlechte Praktiken bei der Herstellung von clientseitigen Code und Sicherheitstester gewinnen besseres Verständnis der Veränderungen, die im DOM auftreten können.
Aktuelle Funktionen
Die Fähigkeit, den DOM Änderung zu hören und zu sammeln Debug-Daten über diese Änderungen
Die Fähigkeit, gesammelten Informationen sortieren und gruppieren als Mittel, um den Analyseprozess dieser Daten zu vereinfachen
Die Fähigkeit, passiv erkennen und markieren als Fehler oder Warnungen einige einfach zu Fragen der Sicherheit vor Ort, unter anderem:
Verwendet der benutzergesteuerten Daten, die aus kommt entweder URL, Referrer oder Cookies beim Bau DOM, wo die Daten auch mit HTML-Escape-Zeichen überprüft (dh "')
Nutzung des Skripts, die nicht an Domäne der Anwendung gehostet werden
Nutzung des Skripts, die in gemischten Inhalt zu Fehlern führen würde
Verwendet ungültiger JSON Syntax, was zu der Verwendung von eval (), im Gegensatz zu einem viel sicherere Alternative Funktion (zB JSON.parse ())
Belegung der document.domain, alles andere als Original-Hostname-Wert der Anwendung (wie von der Browser auf die Rendering-Zeit angegeben)
Die Fähigkeit, alle oder Teilmengen der erfassten Daten als Klartext oder Google Docs exportieren
Kommentare nicht gefunden