Google phát triển công cụ phát hiện lỗ hổng ứng dụng web

Google phát triển công cụ DOM Snitch, một tiện ích mở rộng của trình duyệt Chrome, để dò tìm lỗ hổng bảo mật trên mã nguồn ở máy khách.

Google đã ra mắt DOM Snitch, giúp các nhà phát triển có thể “soi” các ứng dụng web và đặt cờ báo hiệu ở đoạn mã nguồn nào có nguy cơ bị mã độc (malware) tấn công.

DOM Snitch, công cụ miễn phí, được thiết kế để phát hiện các lỗ hổng bảo mật tiềm ẩn ở mã nguồn trong các ứng dụng web, đặt tại máy khách (client). Đây là nơi dễ bị malware tấn công bằng nhiều hình thức, chẳng hạn có thể tấn công qua việc nhúng đoạn script ở máy khách.

Để làm được như vậy, Google chấp nhận một số cách thức chặn gọi JavaScript, cụ thể là khai báo document.write hay HTMLElement.innerHTML, là những đoạn dễ gây ra lỗ hổng cho hạ tầng trình duyệt.

Đối với các nhà phát triển, DOM Snitch cũng dành cho các kiểm thử viên mã nguồn và các nhà nghiên cứu bảo mật. Công cụ này hiển thị theo mô hình đối tượng tài liệu (DOM – Document object model), có thể hiệu chỉnh trong thời gian thực. Do đó, các nhà phát triển không phải ngừng ứng dụng để chạy công cụ dò tìm lỗi. Ngoài ra, DOM Snitch cho phép các nhà phát triển có thể xuất báo cáo, chia sẻ với người khác để phát triển và cải tiến phần ứng dụng.

Hiện tại, Google đang tiếp tục phát triển DOM Snitch và thử nghiệm mã nguồn ở máy chủ, như công cụ Skipfish và Ratproxy bởi vì Google tin rằng còn rất nhiều lỗ hổng bảo mật đang nằm ở các ứng dụng web đã có những biến thể phức tạp và đa dạng.