Google phát triển công cụ DOM Snitch, một tiện ích mở rộng của tŕnh duyệt Chrome, để ḍ t́m lỗ hổng bảo mật trên mă nguồn ở máy khách.
Google đă ra mắt
DOM Snitch, giúp các nhà phát triển có thể “soi” các ứng dụng web và đặt cờ báo hiệu ở đoạn mă nguồn nào có nguy cơ bị mă độc (malware) tấn công.
DOM Snitch, công cụ miễn phí, được thiết kế để phát hiện các lỗ hổng bảo mật tiềm ẩn ở mă nguồn trong các ứng dụng web, đặt tại máy khách (client). Đây là nơi dễ bị malware tấn công bằng nhiều h́nh thức, chẳng hạn có thể tấn công qua việc nhúng đoạn script ở máy khách.
Để làm được như vậy, Google chấp nhận một số cách thức chặn gọi JavaScript, cụ thể là khai báo
document.write hay
HTMLElement.innerHTM L, là những đoạn dễ gây ra lỗ hổng cho hạ tầng tŕnh duyệt.
Đối với các nhà phát triển, DOM Snitch cũng dành cho các kiểm thử viên mă nguồn và các nhà nghiên cứu bảo mật. Công cụ này hiển thị theo mô h́nh đối tượng tài liệu (DOM – Document object model), có thể hiệu chỉnh trong thời gian thực. Do đó, các nhà phát triển không phải ngừng ứng dụng để chạy công cụ ḍ t́m lỗi. Ngoài ra, DOM Snitch cho phép các nhà phát triển có thể xuất báo cáo, chia sẻ với người khác để phát triển và cải tiến phần ứng dụng.
Hiện tại, Google đang tiếp tục phát triển DOM Snitch và thử nghiệm mă nguồn ở máy chủ, như công cụ
Skipfish và
Ratproxy bởi v́ Google tin rằng c̣n rất nhiều lỗ hổng bảo mật đang nằm ở các ứng dụng web đă có những biến thể phức tạp và đa dạng.
Theo quantrimang