DOM Snitch для Chrome помогает определить небезопасный код
22.06.2011
Google выпустил для своего браузера Chrome расширение, которое помогает разработчикам и лицам, проводящим тестирования безопасности, определить веб-сайты, выполняющие небезопасный код на компьютерах конечных пользователей.
Выпуск DOM Snitch, под таким названием известно экспериментальное расширение, произошел пять недель спустя после того, как компания по производству средств для обеспечения безопасности приложений Mind Security опубликовала расширение Firefox под названием DOMinator, которое очень похоже по функциональности. Обе программы проверяют поставляемый сайтом код, который выполняется браузером конечного пользователя.
Используя DOM Snitch, веб-разработчики, лица, проводящие испытания на проникновение, и обычные пользователи браузера могут наблюдать изменения DOM в режиме реального времени без необходимости анализировать JavaScript посредством отладчика или подобного инструмента. Расширение регистрирует абсолютный адрес и полную трассировку стека, что позволяет оценить вероятность того, что код будет уязвим для распространенных эксплойтов, таких как XSS, или межсайтовый скриптинг, атак, или функций, которые позволяют одному сайту читать или изменять данные другого сайта.
При обнаружении бага интерфейс вносит красные пометки в журнал операций и выделает желтым, зеленым или серым цветом код при фиксировании менее опасных проблем.
Google подчеркивает, что нет никаких гарантий, что DOM Snitch будет работать безупречно для всех веб-приложений (он все еще находится на альфа-стадии). Однако бесплатное расширение – простой способ быстро обнаружить плохой код на всех любимых сайтах.
