什么是DOM飞贼?
DOM飞贼是一个实验性的Chrome扩展,使生产时,客户端代码和安全性测试人员更好地了解DOM中发生的变革非安全性测试确定共同的不良做法。
目前的能力
能倾听到DOM修改,并收集有关这些修改调试数据
能力排序和分组收集的信息作为装置来简化分析过程该数据的
能够被动地检测并标记为错误或警告一些容易被发现的安全问题,其中包括:
使用了来自用户控制数据的任何URL,引用或Cookie而构建DOM,其中的数据也检查含有HTML转义字符(即“')
脚本
使用未托管的应用程序的域
脚本利用这会导致在混合内容的错误
使用无效的JSON语法,从而在使用eval(),而不是一个安全得多的替代功能(例如,的JSON.parse())
document.domain的的
分配到任何东西,但应用程序的原始主机名的值(截至渲染时间给浏览器)
能够导出所有收集到的数据或子集为纯文本或通过谷歌文档
评论没有发现