DOM Snitch zeigt Sicherheitslücken in Websites auf
Mit DOM Snitch hat Google eine experimentelle Chrome-Erweiterung veröffentlicht, die helfen soll, unsicheren Code von Webapplikationen auf Clientseite aufzuspüren.
DOM Snitch fängt Javascipt-Aufrufe wichtiger oder gefährlicher Funktionen ab, darunter document.write und HTMLElement.innerHTML. Anschließend zeichnet DOM Snitch die URL des Dokuments auf und erstellt einen kompletten Stack-Trace, der helfen soll, wenn der Aufruf zu Cross-Site-Scripting, Mixed Content oder unsicheren Modifikationen der Same-Origin-Policy führt.
Die Überwachung findet dabei in Echtzeit statt, ohne dass ein Debugger bemüht und die Codeausführung angehalten werden muss. Zudem soll die Nutzung von DOM Snitch auch für weniger erfahrene Entwickler leicht zu nutzen sein und zumindest auf Bereiche hinweisen, die eine genauere Prüfung erfordern. Die Ergebnisse von DOM Snitch sollen sich dabei leicht austauschen lassen, so Google.
DOM Snitch steht ab sofort unter code.google.com/p/domsnitch zum Download bereit. Dort findet sich auch eine umfangreiche Dokumentation.
Wer baut denn den (fehlerhaften xss-anfälligen o.ä.) Javascript-Code auf Serverseite...
Wenn die Erweiterung aktiviert ist, kann ich mich bei Google Mail gar nicht mehr...