Mikä on DOM Snitch?
DOM Snitch on kokeellinen Chrome laajennus, joka mahdollistaa ei-turvallisuus testaajat tunnistaa yhteiset huonoja käytäntöjä tuotettaessa client-side-koodi ja turvallisuus testaajat saavat paremmin ymmärtämään muutoksia, jotka tapahtuvat DOM.
Nykyinen ominaisuudet
Kyky kuunnella DOM muutokseen ja kerätä debug tietoa muutostöissä
kyky lajitella ja keräsi tietoja tarkoittaa yksinkertaistamista analysoinnin tämän datan
Kyky passiivisesti havaita ja tavaramerkin virheitä tai varoituksia joitakin helppo havaita turvallisuuskysymyksistä, mukaan lukien:
Käyttää käyttäjän määräysvallassa data, joka tulee joko URL, viittaava, tai evästeet rakentavat samalla DOM jossa data tarkistettiin myös sisältävät HTML-koodeja (eli "')
Käyttää skriptejä, jotka eivät isännöi sovelluksen domain
Käyttää skriptejä, jotka johtaisivat sekasisällöstä virheitä
Käyttää virheellinen JSON syntaksin, jolloin käyttö eval () vastakohtana paljon turvallisempi vaihtoehto toiminto (esim JSON.parse ())
toimeksiannot document.domain mitään mutta sovelluksen alkuperäiseen hostname arvon (kuten antama selaimesta tekee aika)
Kyky viedä kaikki tai osajoukot kerättyjen tietojen tekstimuodossa tai Google-dokumenttien kautta
Kommentteja ei löytynyt