DOM Snitch : une extension de Google Chrome pour traquer les failles
Du code JavaScript, par détection heuristique
Le 2011-06-22 20:48:11, par Idelways, Expert éminent sénior
« DOM Snitch » est une nouvelle extension open source pour Chrome, destinée à aider les développeurs, testeurs et chercheurs en sécurité à débusquer les failles du code client des sites et applications Web.
Cette extension développée par Google permet comme son nom l'indique, de suivre en temps réel l'évolution du DOM des pages Web (Document Object Model), sous l'action des différents scripts qui s'y exécutent.
La fonctionnalité clé et le principal intérêt de Snitch résident dans ses capacités avancées de détection heuristique des failles, qui lui permettent de ressortir automatiquement les imperfections et les marquer comme de sérieuses menaces ou de simples avertissements.
L'extension analyse le JavaScript sur 18 modules distincts et génère des logs en temps réel, distingués en quatre couleurs : le gris pour les modifications dupliquées, le vert pour les problèmes mineurs, le jaune pour les menaces potentielles plus sérieuses et enfin le rouge pour les failles dangereuses et avérées.
L'outil qui s’exécute en mode passif ou « invasif » intercepte les appels aux parties potentiellement vulnérables exposées par le navigateur par des API JavaScript (comme les élémentaires document.write et HTMLElement.innerHTML) et enregistre l'URL de la page et le chemin parcouru par le code d'une méthode à l'autre jusqu'au point de chute de la faille, facilitant ainsi sa correction.
L'outil permet d'exporter ses rapports afin de les enregistrer ou les partager avec ses collaborateurs.
La division Testing de Google à l'origine de cette extension insiste toutefois sur le fait que DOM Snitch est encore en phase expérimentale de son développement.
Source : le blog officiel de Google Testing
Et vous ?
Cette extension développée par Google permet comme son nom l'indique, de suivre en temps réel l'évolution du DOM des pages Web (Document Object Model), sous l'action des différents scripts qui s'y exécutent.
La fonctionnalité clé et le principal intérêt de Snitch résident dans ses capacités avancées de détection heuristique des failles, qui lui permettent de ressortir automatiquement les imperfections et les marquer comme de sérieuses menaces ou de simples avertissements.
L'extension analyse le JavaScript sur 18 modules distincts et génère des logs en temps réel, distingués en quatre couleurs : le gris pour les modifications dupliquées, le vert pour les problèmes mineurs, le jaune pour les menaces potentielles plus sérieuses et enfin le rouge pour les failles dangereuses et avérées.
L'outil qui s’exécute en mode passif ou « invasif » intercepte les appels aux parties potentiellement vulnérables exposées par le navigateur par des API JavaScript (comme les élémentaires document.write et HTMLElement.innerHTML) et enregistre l'URL de la page et le chemin parcouru par le code d'une méthode à l'autre jusqu'au point de chute de la faille, facilitant ainsi sa correction.
L'outil permet d'exporter ses rapports afin de les enregistrer ou les partager avec ses collaborateurs.
La division Testing de Google à l'origine de cette extension insiste toutefois sur le fait que DOM Snitch est encore en phase expérimentale de son développement.
Source : le blog officiel de Google Testing
Et vous ?
-
transgohanExpert éminentConcernant l'article c'est assez intéressant, je testerai ce soir en rentrant pour voir ce que cela peut donner.
Moi qui ne suit pas un grand guru du Javascript j'aimerai bien voir ce que cela donne sur mes applications.le 23/06/2011 à 8:01 -
Grimly_oldMembre avertiJe n'ai pas encore compris de quel type de faille il s'agissait. Si on pouvait m'éclairer.le 23/06/2011 à 10:17
-
bigbenMembre du ClubLorsqu'on charge cet article avec "DOM Snitch" avec le module "innerHTML" activé, le log génère une ligne jaune (correspondant à "menaces potentielles plus sérieuses"
.
Qu'en dîtes vous ?le 23/06/2011 à 12:57