Google ha lanzado DOM Snitch, una herramienta de código abierto que trata de identificar aplicaciones Web que pueden ser peligrosas al ser ejecutadas en un navegador. DOM Snitch es una extensión experimental para Chrome.
DOM Snitch examina cómo se ejecuta el código en un sitio Web para ver si los comandos pueden dar lugar a un ataque XSS (Cross-site scripting: explotan vulnerabilidades en el sistema de validación de HTML incrustado) u otro tipo de ataques utilizados para propagar software malicioso a través del navegador.
DOM Snitch permite a desarrolladores y testers identificar prácticas inseguras utilizadas con frecuencia en los programas del lado del cliente
Para hacer esto, hemos adoptado diversas aproximaciones para interceptar llamadas a JavaScript relacionadas con infraestructura delicada del navegador, tales como document.write o HTMLElement.innerHTML (entre otros)
Una vez que la llamada a JavaScript se ha interceptado, DOM Snitch graba la URL del documento y realiza una depuración que permite ayudar a identificar si la llamada interceptada puede dar lugar a un XSS, contenido mixto, modificaciones inseguras con la misma política de origen de acceso a DOM, u otros problemas del lado cliente
DOM Snitch es una herramienta para programadores, que sirve para detectar posibles malas prácticas en la programación de código del lado del cliente y que aporta las siguientes ventajas:
Tiempo real: Los desarrolladores pueden observar modificaciones DOM a medida que ocurren dentro del navegador sin necesidad de desplazarse por el código JavaScript con un depurador o una pausa en la ejecución de su aplicación.
Fácil de usar: con una función heurística de seguridad y vistas anidadas que permiten, tanto a desarrolladores avanzados como con menos experiencia o testers, detectar rápidamente áreas de la aplicación que se está probando y que necesitan más atención.
Colaboración fácil: Permite a los desarrolladores exportar y compartir de forma sencilla modificaciones “capturadas” en DOM y resolverlas con sus compañeros
Vía e imagen | Google Online Security Blog
Web | Descarga