Що таке DOM Snitch?
DOM Snitch є експериментальне розширення Chrome, який дозволяє тестери не пов'язані з безпекою виявити загальні погані практики при виробництві клієнтський код і тестери безпеки отримати краще розуміння тих перетворень, які відбуваються в межах DOM.
Поточні можливості
Можливість прослуховування модифікації DOM і збирати налагоджувальні дані про тих змін
Можливість сортування і група зібрану інформацію в якості засобу для спрощення процесу аналізу цих даних
Можливість пасивно виявляти і помітити як помилки або попередження Деякі легко виявити проблеми з безпекою, у тому числі:
Використання контрольованих користувачем даних, який надходить або з URL, що посилається, або печиво при побудові DOM, де дані також перевіряються на містить HTML керуючі символи (наприклад, "")
Використання сценаріїв, які не розміщуються на домені додатки
Використання сценаріїв, які б привести до помилок в змішаних контенту
Використання неправильного синтаксису JSON, в результаті використання Eval (), на відміну від набагато більш безпечною альтернативою функції (наприклад, JSON.parse ())
Призначення document.domain ні до чого, але вихідного значення імені хоста додатки (як воно вказане в браузері під час рендеринга)
Можливість експортувати всі або підмножини зібраних даних у вигляді простого тексту або через Google Docs
Коментар не знайдено