O que é DOM Snitch?
DOM Snitch é uma extensão Chrome experimental que permite que os testadores não são de segurança identificar as más práticas comuns ao produzir código do lado do cliente e testadores de segurança obter uma melhor compreensão das transformações que ocorrem dentro do DOM.
Capacidades atuais
Capacidade de ouvir a modificação DOM e coletar dados de depuração sobre essas modificações
Capacidade de classificar e agrupar coletadas informações como forma de simplificar o processo de análise de dados
capacidade de detectar de forma passiva e marcar como erros ou avisos alguns fáceis de detectar problemas de segurança, incluindo:
Usa de dados controlada pelo utilizador que vem a partir de qualquer URL, referrer ou cookies durante a construção DOM onde os dados também está marcada para conter caracteres de escape HTML (ou seja, "")
Usos de scripts que não estão hospedados no domínio da aplicação
Usos de scripts que possam resultar em erros de conteúdo misto
Usa de sintaxe JSON inválido, o que resulta na utilização de Eval () em oposição a uma função alternativa muito mais segura (por exemplo JSON.parse ())
Atribuições de document.domain para qualquer coisa, mas valor hostname original do aplicativo (como dado pelo navegador em tempo de renderização)
Capacidade de exportar a totalidade ou subconjuntos de dados recolhidos, como texto simples ou através do Google Docs
Comentários não encontrado