Chrome-tillegg avslører potensielle webfarer

Google med nytt rekognoseringsverktøy for webutviklere.

DOM Snitch er et nytt tillegg til Googles Chrome-nettleser. Av Google omtales det som et passivt rekognoseringsverktøy inne i nettleserens DOM (Document Object Model). Hensikten med verktøyet, som foreløpig anses som eksperimentelt, er å avdekke sikkerhetssvakheter som typisk finnes i koden til klientdelen av webapplikasjoner.

I et blogginnlegg skriver Radoslav Vasilev, en sikkerhetstester i Google, at DOM Snitch tar i bruk flere ulike tilnærminger for å avskjære JavaScript-kall som gjøres til viktig og potensielt risikofylt nettleserinfrastruktur, slik som document.write eller HTMLElement.innerHTML.

Så snart et JavaScript-kall har blitt avskåret, vil DOM Snitch lagre dokumentets URL og en komplett «stack trace» som kommer til nytte dersom det viser seg at kallet som har blitt avskåret, kan føre til slikt som cross-site scripting, usikker blanding og modifisere på tvers av domener og andre problemer som er knyttet til klientsiden av webapplikasjoner.

Med DOM Snitch vil utviklere kunne observer modifiseringer av DOM i sanntid, uten å måtte gå trinnvis gjennom JavaScript-koden med en debugger eller å måtte stoppe kjøringen av applikasjonen.

Verktøyet skal være enkelt å komme i gang med, slik at også mindre erfarne utviklere og testere raskt skal kunne gjenkjenne hvilke deler av webapplikasjonen som trenger nærmere ettersyn. Samtidig skal verktøyet også tilby mer avansert funksjonalitet.

DOM Snitch skal dessuten gjøre det mulig for utviklere å eksportere og dele opptak av modifikasjoner med andre utviklere.

Både selve verktøyet og mer informasjon om det evner og egenskaper finnes på denne siden.

Til toppen