DOM Snitch

Що таке DOM Snitch?

DOM Snitch є експериментальне розширення Chrome, який дозволяє тестери не пов'язані з безпекою виявити загальні погані практики при виробництві клієнтський код і тестери безпеки отримати краще розуміння тих перетворень, які відбуваються в межах DOM.

Поточні можливості

Можливість прослуховування модифікації DOM і збирати налагоджувальні дані про тих змін

Можливість сортування і група зібрану інформацію в якості засобу для спрощення процесу аналізу цих даних

Можливість пасивно виявляти і помітити як помилки або попередження Деякі легко виявити проблеми з безпекою, у тому числі:

Використання контрольованих користувачем даних, який надходить або з URL, що посилається, або печиво при побудові DOM, де дані також перевіряються на містить HTML керуючі символи (наприклад, "")

Використання сценаріїв, які не розміщуються на домені додатки

Використання сценаріїв, які б привести до помилок в змішаних контенту

Використання неправильного синтаксису JSON, в результаті використання Eval (), на відміну від набагато більш безпечною альтернативою функції (наприклад, JSON.parse ())

Призначення document.domain ні до чого, але вихідного значення імені хоста додатки (як воно вказане в браузері під час рендеринга)

Можливість експортувати всі або підмножини зібраних даних у вигляді простого тексту або через Google Docs