现代web 应用程序越来越精密,随着复杂性的增长,可攻击面也随之增加。Google 之前曾发布过开源工具 Skipfish 与 Ratproxy,可辅助开发者理解并加强其应用程序的安全。由于现有工具主要关注测试服务器端的代码,Google 安全测试团队今天发布了一款实验性注 Chrome 扩展程序——DOM Snitch,允许开发者与测试员找出客户端常见的不安全的代码写法。为实现这些功能,开发团队对涉及关键且有潜在威胁的浏览器架构的 JavaScript 调用——如
document.write 或 HTMLElement.innerHTML (等等)——采取了一些拦截策略。一旦拦截到 JavaScript 调用,DOM Snitch 就会记录下文档 URL 以及可帮助评估调用是否可能导致跨站脚本、混合内容、同源 DOM 访问策略的不安全修改或其他客户端问题的完整堆栈跟踪信息。
DOM Snitch 的优势如下:
- 实时: 开发者可以在浏览器中发生 DOM 改动时就进行观察,而无需在调试器中步进执行 JavaScript 代码或暂停应用的执行。
- 易用: 通过内置的安全启发策略与嵌套视图,高级或经验不足的开发者与测试员都能迅速发现所测试应用需要额外注意的区域。
- 方便协作: 允许开发者轻松导出与共享所捕获的 DOM 改动,与同事一起处理疑难问题。
注:需要注意 DOM Snitch 尚处于实验阶段。Google 无法保证能完美侦察所有web 应用。已知问题详情可在这里或项目的问题跟踪模块查看。
via Google Online Security Blog
最新评论