Apa DOM Snitch?
DOM Snitch adalah ekstensi Chrome eksperimental yang memungkinkan penguji non-keamanan mengidentifikasi praktek-praktek buruk umum ketika menghasilkan kode sisi klien dan penguji keamanan memperoleh pemahaman yang lebih baik dari transformasi yang terjadi dalam DOM.
Kemampuan saat
Kemampuan untuk mendengarkan modifikasi DOM dan mengumpulkan data tentang men-debug modifikasi
Kemampuan untuk memilah dan kelompok informasi yang dikumpulkan sebagai sarana untuk mempermudah proses analisis data ini
Kemampuan untuk mendeteksi pasif dan tandai sebagai kesalahan atau peringatan beberapa mudah dikenali masalah keamanan, termasuk:
Penggunaan data pengguna yang dikendalikan yang berasal dari salah satu URL, pengarah, atau cookie sementara membangun DOM di mana data tersebut juga diperiksa untuk mengandung karakter HTML escape (yaitu "')
Penggunaan script yang tidak di-host di domain aplikasi
Penggunaan script yang akan mengakibatkan kesalahan konten campuran
Penggunaan yang tidak valid JSON sintaks, sehingga penggunaan eval () sebagai lawan fungsi alternatif yang jauh lebih aman (misalnya JSON.parse ())
Tugas dari document.domain untuk apa pun kecuali asli nilai hostname aplikasi (seperti yang diberikan oleh browser pada saat render)
Kemampuan untuk mengekspor semua atau himpunan bagian dari data yang dikumpulkan sebagai teks biasa atau melalui Google Documents
Komentar tidak ditemukan