现代 web 应用程序越来越精密,随着复杂性的增长,可攻击面也随之增加。Google 之前曾发布过开源工具 Skipfish 与 Ratproxy,可辅助开发者理解并加强其应用程序的安全。
由于现有工具主要关注测试服务器端的代码,Google 安全测试团队今天发布了一款实验性注 Chrome 扩展程序——DOM Snitch,允许开发者与测试员找出客户端常见的不安全的代码写法。为实现这些功能,开发团队对涉及关键且有潜在威胁的浏览器架构的 JavaScript 调用——如 document.write 或 HTMLElement.innerHTML (等等) ——采取了一些拦截策略。一旦拦截到 JavaScript 调用,DOM Snitch 就会记录下文档 URL 以及可帮助评估调用是否可能导致跨站脚本、混合内容、同源 DOM 访问策略的不安全修改或其他客户端问题的完整堆栈跟踪信息。
DOM Snitch 的优势如下:
- 实时: 开发者可以在浏览器中发生 DOM 改动时就进行观察,而无需在调试器中步进执行 JavaScript 代码或暂停应用的执行。
- 易用: 通过内置的安全启发策略与嵌套视图,高级或经验不足的开发者与测试员都能迅速发现所测试应用需要额外注意的区域。
- 方便协作: 允许开发者轻松导出与共享所捕获的 DOM 改动,与同事一起处理疑难问题。
DOM Snitch 供开发者、测试者、安全研究者等人士使用。点此可下载 DOM Snitch。文档在项目 wiki 中。
注:需要注意 DOM Snitch 尚处于实验阶段。Google 无法保证能完美侦察所有 web 应用。已知问题详情可在这里或项目的问题跟踪模块查看。
via Google Online Security Blog
Related posts
- Google+ 新手入门指南手册下载
- Chrome 扩展 Drag2Up 让你拖拽图片到文本框里插入图片地址
- Chrome Dev 升级到 11.0.696.14
- Chrome Dev 分支升级到 16.0.889.0,加入多帐户登录
- Chrome 浏览记录界面即将更新
- Chrome Dev 升级到 13.0.782.20
- Google Bookmarks 小清新了
- Google 欲强推仅有 Chrome 支持的 Dart 语言代替 Javascript
- Chrome 扩展:中国A股实时行情
- Google Chrome Frame 发布,在 IE 中使用 Chrome 浏览器
没有评论:
发表评论