F.Manuel
Google ha lanzado DOM Snitch, una herramienta de código abierto que trata de identificar aplicaciones Web que pueden ser peligrosas al ser ejecutadas en un navegador. DOM Snitch es una extensión experimental para Chrome.
DOM Snitch examina cómo se ejecuta el código en un sitio Web para ver si los comandos pueden dar lugar a un ataque XSS (Cross-site scripting: explotan vulnerabilidades en el sistema de validación de HTML incrustado) u otro tipo de ataques utilizados para propagar software malicioso a través del navegador.
DOM Snitch permite a desarrolladores y testers identificar prácticas inseguras utilizadas con frecuencia en los programas del lado del cliente
Para hacer esto, hemos adoptado diversas aproximaciones para interceptar llamadas a JavaScript relacionadas con infraestructura delicada del navegador, tales como document.write o HTMLElement.innerHTML (entre otros)
Una vez que la llamada a JavaScript se ha interceptado, DOM Snitch graba la URL del documento y realiza una depuración que permite ayudar a identificar si la llamada interceptada puede dar lugar a un XSS, contenido mixto, modificaciones inseguras con la misma política de origen de acceso a DOM, u otros problemas del lado cliente
DOM Snitch es una herramienta para programadores, que sirve para detectar posibles malas prácticas en la programación de código del lado del cliente y que aporta las siguientes ventajas:
-
Tiempo real: Los desarrolladores pueden observar modificaciones DOM a medida que ocurren dentro del navegador sin necesidad de desplazarse por el código JavaScript con un depurador o una pausa en la ejecución de su aplicación.
-
Fácil de usar: con una función heurística de seguridad y vistas anidadas que permiten, tanto a desarrolladores avanzados como con menos experiencia o testers, detectar rápidamente áreas de la aplicación que se está probando y que necesitan más atención.
-
Colaboración fácil: Permite a los desarrolladores exportar y compartir de forma sencilla modificaciones “capturadas” en DOM y resolverlas con sus compañeros
Vía e imagen | Google Online Security Blog
Web | Descarga
Ver 5 comentarios
5 comentarios
Jorge Ve
Off topic: sigo esperando el artículo sobre los cambios de interfaz en Opera Next que les envié a su formulario de contacto esta mañana. Vamos, no me digan que no lo harán porque no es la versión final, si bien que comentan hasta el más insignificante cambio de iconos que Firefox y Chrome hacen en sus versiones beta.
http://my.opera.com/chooseopera/blog/2011/06/22/bringin-sexy-back
xavier calva
Mucho ojo con la recomendación de la gente de Google: "DOM Snitch is intended for use by developers, testers, and security researchers alike."
"DOM Snitch es para uso de los desarrolladores, probadores, y los investigadores de seguridad por igual."
No para el usuario promedio; nosotros tenemos otras alternativas para salvaguardar la integridad de nuestros equipos.