什麼是DOM飛賊?
DOM飛賊是一個實驗性的Chrome擴展,使生產時,客戶端代碼和安全性測試人員更好地了解DOM中發生的變革非安全性測試確定共同的不良做法。
目前的能力
能傾聽到DOM修改,並收集有關這些修改調試數據
能力排序和分組收集的信息作為裝置來簡化分析過程該數據的
能夠被動地檢測並標記為錯誤或警告一些容易被發現的安全問題,其中包括:
使用了來自用戶控制數據的任何URL,引用或Cookie而構建DOM,其中的數據也檢查含有HTML轉義字符(即“')
腳本
使用未託管的應用程序的域
腳本利用這會導致在混合內容的錯誤
使用無效的JSON語法,從而在使用eval(),而不是一個安全得多的替代功能(例如,的JSON.parse())
document.domain的的
分配到任何東西,但應用程序的原始主機名的值(截至渲染時間給瀏覽器)
能夠導出所有收集到的數據或子集為純文本或通過谷歌文檔
評論沒有發現