Qu'est-ce que DOM Snitch?
DOM Snitch ce est une extension Chrome qui permet aux testeurs expérimentale non-sécurité identifient les mauvaises pratiques courantes lors de la production de code côté client et testeurs de sécurité à acquérir une meilleure compréhension des transformations qui se produisent dans le DOM.
Les capacités actuelles
Capacité à écouter les DOM modification et recueillir des données de débogage sur ces modifications
Possibilité de trier et regrouper les informations recueillies comme des moyens de simplifier le processus d'analyse de ces données
La capacité à détecter passivement et marque comme des erreurs ou des avertissements certains faciles à repérer les questions de sécurité, y compris:
Utilise des données contrôlée par l'utilisateur qui vient de soit URL, référents, ou des biscuits tout en construisant DOM où les données sont également vérifié pour contenir des caractères d'échappement HTML (ce est à dire "')
Les utilisations de son exécution qui ne sont pas hébergés au domaine de l'application
Les utilisations de son exécution qui pourraient entraîner des erreurs de contenu mixte
Utilise la syntaxe JSON invalide, résultant de l'utilisation de eval (), par opposition à une fonction alternative beaucoup plus sûre (par exemple JSON.parse ())
missions de document.domain à quoi que ce soit, mais la valeur du nom d'hôte d'origine de l'application (telle que donnée par le navigateur au moment du rendu)
Possibilité d'exporter la totalité ou sous-ensembles de données collectées en texte brut ou via Google Docs
Commentaires non trouvées