ホーム
検索
ログイン
ヘルプ技術/Security/DOM based XSS メモ1(DOMinator)
技術 / Security / DOM based XSS メモ1(DOMinator)
id: 1366 所有者: msakamoto-sf
作成日: 2015-03-07 21:45:53
カテゴリ: JavaScript セキュリティ
カテゴリ: JavaScript セキュリティ
先日外部のWebセキュリティの方と話していたら、DOM based XSSの話題でDOMinatorというのを教えてもらいました。メモとして参考リンクなど残しておきます。
初期:Google Codeでホスティングされてた時代:
- dominator - Community version of the DOMinator for Firefox - Google Project Hosting
→2011年の紹介Blog:
- Minded Security Blog: The DOMinator Project
→現在はMinded Security社の製品として、Webセキュリティの検査員向けのツール製品として販売。Free Trialは日数限定・機能限定のお試し版。
- DOM XSS Identification. DOMinatorPro: Securing Next Generation of Web Applications
→上記HPのヘッダにリンクがあった、DOM based XSSのテストケースについてのナレッジベースWikiらしい:
- domxsswiki - DOM XSS Test Cases Wiki Cheatsheet Project - Google Project Hosting
Minded Security社作成の、DOM based XSSのテストサイト:
- DOMXSS.com: interactive DOM XSS vulnerable website
こちらは恐らくProになる前のGoogle Code時代のをGitHubに移してきたと思われる。コミットログもFirefox8時代の対応で止まっている。
- wisec/DOMinator
アプローチとしては、FirefoxのJSエンジンを直接改造して、入力から出力に至るまでのコードパスを解析できるようになっている。
恐らく静的解析と、実行時の挙動を捉える動的解析を組み合わせた形と想像される。
プレーンテキスト形式でダウンロード
現在のバージョン : 1
更新者: msakamoto-sf
更新日: 2015-03-07 21:46:56
md5:9da362125466cdbf50b0c88a58ff444b
sha1:299ac14d993ada1c7b58b9aa79b1326036aa8c0e
更新者: msakamoto-sf
更新日: 2015-03-07 21:46:56
md5:9da362125466cdbf50b0c88a58ff444b
sha1:299ac14d993ada1c7b58b9aa79b1326036aa8c0e
コメント
コメントを投稿するにはログインして下さい。