Kas yra DOM Snitch?
DOM Snitch yra eksperimentinė Chrome "plėtinį, kuris leidžia ne saugumo testeriai nustatyti bendrus blogus praktiką, kai gamina client-side kodas ir saugumo testeriai įgyti geresnį supratimą apie pokyčių, kurie įvyksta per DOM.
Dabartinės galimybės
Galimybė klausytis DOM modifikacijos ir rinkti debug duomenis apie šių pakeitimų
Gebėjimas rūšiuoti ir grupės surinktą informaciją reiškia supaprastinti analizės procesą šio duomenų
Galimybė pasyviai aptikti ir žymuo, kaip klaidas ar įspėjimus kai lengva pastebėti saugumo klausimus, įskaitant:
Naudojimas Vartotojo kontroliuojamas duomenų, kad ateina arba iš URL, persiuntimo, ar slapukai statant DOM, kur duomenys taip pat patikrinti, ar sudėtyje yra HTML pabėgti simboliai (ty ")
Naudoja scenarijus, kurių nėra talpinami užlašinimo domeno
Naudoja scenarijus, kurie lemtų mišraus turinio klaidas
Naudojimas negaliojančių JSON sintakse, todėl į eval naudojimo (), o ne daug saugesnės alternatyvos funkciją (pvz JSON.parse ())
pavedimus document.domain nieko, bet paraiška pradinę prieglobosserveriopavadinimas vertės (kaip, pateiktą naršyklėje rendering time)
Galimybė eksportuoti visas arba pogrupius surinktų duomenų, kaip paprasto teksto ar per "Google Docs"
Komentarai nerastas