Google-tool test sites op kwetsbaarheden aan client-zijde

Google heeft een testtool uitgebracht waarmee sites kunnen worden onderzocht op kwetsbaarheden aan de client-zijde. De tool, DOM Snitch genaamd, onderschept javascript-calls om te kijken of bijvoorbeeld cross site scripting mogelijk is.

De onlangs aangekondigde tool is een Chrome-extensie die in realtime dom-wijzigingen toont. Daarbij worden javascript-calls die een beveiligingsprobleem vormen, als zodanig aangeduid op een schaal van groen voor een probleem met kleine beveiligingsimpact tot rood voor een daadwerkelijk beveiligingsprobleem. Met de tool kunnen onder andere kwetsbaarheden worden opgespoord die cross site scripting, waarbij kwaadwillenden hun eigen content kunnen inladen, mogelijk maken.

Normaliter geeft de tool een lijst van dom-calls weer als een webpagina wordt geladen, maar testers kunnen de tool ook gebruiken om javascript-calls te manipuleren voordat ze worden uitgevoerd. Ironisch genoeg bevat Google Code, waarop de tool wordt gehost, volgens de tool een aantal calls die een kleine invloed op de beveiliging kunnen hebben.

Door Joost Schellevis

Redacteur

Feedback • 22-06-2011 10:1733

22-06-2011 • 10:17

33 Linkedin

Lees meer

Hacker kraakt Hardware.info Nieuws van 25 oktober 2011
American Express liet adminpanel voor site-debugging openstaan Nieuws van 7 oktober 2011
Google activeert Native Client in Chrome 14 Nieuws van 15 augustus 2011
Lek in VARA-site gaf toegang tot 19.000 e-mailadressen Nieuws van 15 juli 2011
Nieuwe Chrome Frame-plug-in vereist geen adminrechten Nieuws van 21 juni 2011
Google: Chinese hackers vallen opnieuw Gmail-accounts aan Nieuws van 2 juni 2011
Samsung moet Apple nieuwe smartphones en tablets laten zien Nieuws van 24 mei 2011
VS neemt opnieuw domeinnamen in beslag Nieuws van 23 mei 2011
Google keert zich tegen blokkeren websites Nieuws van 19 mei 2011
Google-app-authenticatie op Android kan worden gekaapt Nieuws van 17 mei 2011
Google levert geen Chromebook-drivers voor andere OS'en Nieuws van 12 mei 2011
Meer producten en artikelen
Netwerk en systeembeheer Google Beveiliging

Reacties (33)

-Moderatie-faq
33
33
28
4
0
4
Wijzig sortering
Beatboxx
22 juni 2011 10:28
Google had iets moeten inbouwen dat de tool alleen werkt als bijvoorbeeld bestandje x aanwezig is op de server. Op deze manier wordt het voor hackers steeds gemakkelijker.

En de 1 miljard, zijn dat unieke bezoekers? Ik ben daar één van :*)

[Reactie gewijzigd door Beatboxx op 22 juni 2011 10:28]

Saeverix
@Beatboxx22 juni 2011 10:36
Stuur het eens naar Google als Feedback. Ze gebruiken dat ook bij Google Apps om aan te tonen dat jij de eigenaar bent van de opgegeven domein.
Xthemes.us
@Saeverix22 juni 2011 13:38
Aangezien er velen vergelijkbare en naar alle waarschijnlijkheid betere tools beschikbaar zijn (al dan niet tegen betaling) denk ik niet dat Google er wakker van zal liggen dat wellicht deze tool ervoor misbruikt kan worden.
Ypho
22 juni 2011 10:21
Zo kun je dus ook heel makkelijk bij andere (concurrerende?) websites kijken of er lekken zijn, en deze eventueel misbruiken.

Voor webdevelopers dus zaak om zelf tijdens het ontwikkelen ook goed deze tool te gebruiken!

/edit: typo

@hieronder: Tuurlijk is het bedoeld voor je eigen site, en de meeste zullen het hier ook wel voor gebruiken. Maar zouden niet ook veel mensen/hackers/developers stiekem bij andere sites kijken of ze daar niet iets kunnen vinden? De drempel om iets te "hacken" wordt op deze manier imo verlaagd.

[Reactie gewijzigd door Ypho op 22 juni 2011 10:26]

Mopperman
@Ypho22 juni 2011 10:25
Dat dacht ik dus ook meteen...
Is het dan ook wel zo verstandig om zon openbare tool te hebben?

Ok, kwaadwillende komen er toch wel achter, maar t word zo wel steeds makkelijker....
TDeK
@Mopperman22 juni 2011 10:31
Is het dan ook wel zo verstandig om zon openbare tool te hebben?
Ok, kwaadwillende komen er toch wel achter, maar t word zo wel steeds makkelijker....
Er zijn al jaren special distro's zoals Backtrack of frameworks als Metasploit waar nog veel meer zaken in zitten (Google test hier alleen front-end clientside). Je kunt inderdaad vervelende zaken uithalen met deze tools, maar ze zijn ook beschikbaar voor de security professionals, die hiermee hun eigen producten en sites kunnen testen.
watercoolertje
@Mopperman22 juni 2011 10:26
Maar ook steeds makkelijker om je site WEL goed te beveiligen :)

Een mes kan ook goed en kwaad gebruikt worden, waar kies jij voor?
Mopperman
@watercoolertje22 juni 2011 10:29
Agreed, maar door de vele scripting en menselijke fouten blijven er ook steeds meer "backdoors" open. Ik snap je bedoeling, maar ik ben zelf van mening dat er over t algemeen te weinig gedaan word aan degelijke beveiliging....

Begrijp me niet verkeerd - maar kijk hoe makkelijk het is om gegevens uit een database te krijgen. De laatste 2-3 maanden zijn er zoveel "hacks" gepleegd welke gerelateerd waren aan slechte beveiliging dat ik niet echt het gevoel heb dat er voorheen veel aandacht aan besteed werd.

Aan de kant van google denk ik ook dat dit een reden is om juist nu met zo'n soort tool te komen, en ik gok dan ook dat er meerdere van dit soort tools bij google en concollega's zullen opduiken de komende weken/maanden voor verschillende scripting talen.....
kokx
@Mopperman22 juni 2011 18:56
De mensen met kwade bedoelingen zouden deze tools zoiezo wel ter beschikking hebben. Of google dit nu openbaart of niet. Deze tools gesloten houden is alleen maar dommer, want dan kunnen kwaadarige mensen hun gang gaan terwijl websitemakers hier dan niet naar omkijken.

Het gesloten houden van deze tools is eigenlijk ook gewoon volledig security by obscurity, wat altijd een slecht principe is om op te vertrouwen.
whatdoesitwant
@Mopperman22 juni 2011 21:56
Ik heb ook het idee dat bij client-side scripting nog onvoldoende gebruik wordt gemaakt van unit tests en patterns. Ik bedoel, als je eerlijk bent, schrijf jij altijd tegen tests? Die gewoonte kan wel eventuele hacks helpen voorkomen en iig sneller oplosbaar maken.
Eigenlijk is het idee van front-end als het kneusje van de klas de wereld op zijn kop: je webinterface is immers het ding waar je - als het goed is - je model tegenaan programmeert en in die zin het sleutelonderdeel. Juist hier zijn tests en patterns dan ook belangrijk, en deze tool kan helpen om ze te formuleren.
Sthomkop
@Mopperman22 juni 2011 10:31
Mijns inziens is dat juist goed: je mag er toch vanuit gaan dat een site goed beveiligd is? Deze tool zal ervoor zorgen dat developers zich er meer van bewust zijn hoe veilig de site/webapplicatie is die ze maken.
johncheese002
@Mopperman22 juni 2011 10:34
Ik vind het op zichzelf een nobel idee van Google, om mensen te helpen met security-flaws, alleen daar zit imo ook een verplichting aan vast, om dit bijv. op de startpagina te melden dat deze tooling bestaat en mensen erop bewust te maken hem te gebruiken.
Zo geef je scriptkiddies maar een beperkt timeframe om ongein uit te halen.

Eigenlijk verplicht Google je om dit uit te voeren, je hebt weinig andere keus- doe je het niet, dan loop je risico's (een soort soa-test voor je website :')) dus Google zet even de hele wereld aan het werk, lijkt het. Anderzijds; wat is de andere optie? De tool beperkt beschikbaar stellen, op aanvraag bijv.- zorgt ervoor dat kwaadwillende personen hem altijd vinden en de rest van meute niet? Dit is ook geen optie. Dat wordt testen dus!

Edit: Het schijnt dat de NL-overheid al goed bezig is:
http://www.nu.nl/internet...oorbereid-hackaanval.html

[Reactie gewijzigd door johncheese002 op 22 juni 2011 10:53]

BoomTakZaag
@Mopperman23 juni 2011 01:07
Als de kwaadwillige zo slecht met computers om kan gaan dan zou ik als potentieel doelwit niet eens bang zijn. Dit is misschien een stap dichterbij naar een veiliger internet, maar BackTrack staat altijd nog om de hoek. En deze kan met 2 Youtube filmpjes worden gebruikt als een heuse 'crackingtool' ipv een relatief simpel java-exploit checkertje.
anboni
@Ypho22 juni 2011 10:29
De drempel om iets te "hacken" wordt op deze manier imo verlaagd.
De drempel om te zorgen dat je je eigen site op orde hebt, wordt hiermee net zo goed verlaagd. Ik zie dus je probleem niet.
Ypho
@anboni22 juni 2011 10:33
Hoeveel studenten of hobby website bouwers zijn er wel niet die websites maken voor kleine bedrijfjes met een laag budget? Dit zijn vaak websites die even snel in elkaar gelfanst worden (of een CMS als Joomla/Wordpress etc gebruikt wordt). Hier wordt vervolgens niet meer naar omgekeken door de bouwer, of het CMS niet meer geupdate. Ik kan alleen al bij mij in de regio een aantal kleine winkeltjes noemen die een simpele website in elkaar hebben laten zetten waarvan ik durf te zeggen dat de helft wel ergens onveilig is, en hier wordt dan vervolgens niets mee gedaan. (Ook ik zoek wel eens naar backdoors/XSS mogelijkheden in websites,)
killercow
@Ypho22 juni 2011 10:55
Je moet je auto ook netjes onderhouden, anders krijg je een boete.

Amateurs moeten gewoon lekker iets anders gaan doen.
Goed, een foutje kan gebeuren,maar wat jij hier schetst is gewoon zonder kennis van zaken onder de kostprijs duiken door de kantjes eraf te lopen en zo een gevaarlijke site opleveren.
koter84
@killercow27 juni 2011 11:56
ja... waar niemand een auto wil waarbij de achterbak niet op slot of uberhaupt dicht kan... is dat bij een website niet zo duidelijk zichtbaar.

daarnaast hebben teveel mensen de mentaliteit... maar het werkt toch?
Proxx
@Ypho22 juni 2011 10:24
of bij je eigen site kijken of je beveiliging in orde is. waar het dus ook voor bedoeld is.
carpcatcher
22 juni 2011 10:39
Zouden ze niets een beveiliging hebben als Analatics of Webmaster tools?
dat je een bepaald bestand of mapje op je server moet aanmaken ?

zo maken ze het inderdaad voor iedereen makkelijk.
Distael
@carpcatcher22 juni 2011 11:09
Net even geprobeerd maar het lijkt erop dat je elke site zo kunt analyseren.
Xthemes.us
@carpcatcher22 juni 2011 13:40
Daar is het noodzakelijk dat je iets aan de serverkant toevoegt om ervoor te zorgen dat Google er inzicht in krijgt. Hier is het andersom, ze testen de clientside.. dus wat kan je zonder dat je toegang tot de server hebt anders dan via de site zelf.

[edit]
En zoals ik hierboven al had gepost, er zijn al vele programma's die waarschijnlijk nog een stapje verder gaan en die waren er al voordat deze tool überhaupt was aangekondigd.

[Reactie gewijzigd door Xthemes.us op 22 juni 2011 13:42]

KnoppenSpook
22 juni 2011 11:32
Euuh... waarschijnlijk ben ik gewoon kippig en zie ik het niet.
Maar hoe gebruik je dit ding?
Ik krijg geen icoontje naast m'n adresbalk.
En ik zie geen mogelijkheid de extention te starten als ik m'n site geladen heb...
StarLite
@KnoppenSpook22 juni 2011 11:43
Rechtermuisknop op de pagina > DOM Snitch ;)
KnoppenSpook
@StarLite22 juni 2011 11:45
haha, dat is handig.
Anders zet je dat even in je manual mr. Google...

En in onze web-applicatie staat het standaard context menu van de browser natuurlijk gewoon uit...
StarLite
@KnoppenSpook22 juni 2011 12:03
Probeer eens de alt-menu windows key op je toetsenbord.
Bij 99% van de sites waar de rechtermuisknop is 'uitgeschakeld' vangen ze alleen de rechtermuisklik af, niet de alt-menu zelf :)
Qzar
@StarLite22 juni 2011 12:09
of je disabled javascript even in je browser als je die toets niet hebt
KnoppenSpook
@Qzar22 juni 2011 12:23
ExtJS het javascript framework dat ik gebruik vangt het context menu prima af. Of het nou via ALT of rechter muisknop opgeroepen wordt.

Disabelen javascript is niet echt een optie. Dan doet de site helemaal niets meer, is het gewoon blank. Omdat het niet echt een publieke site is, maar een web applicatie voor specifieke gebruikers, is dat geen probleem...
koter84
@KnoppenSpook27 juni 2011 12:01
die pop-ups zijn echt stront-irritant....
en voor diegenen die echt je content willen jatten die doen dat toch wel... volgens mij is het greasemonkey-script wat zo'n functie/controle uitschakeld zo gemaakt
het enige wat je dan bereikt hebt is dat het voor niemand handig/makkelijk is om wat van je site te downloaden...

Dan kan je zeggen, dat is ook het doel... maar de gebruiker die niet om het pop-upje heen kan werken was toch niet degene die heel veel kwaad kan...
veldmuis
@KnoppenSpook22 juni 2011 11:46
Zie hier: https://code.google.com/p/domsnitch/wiki/FAQ
Je was niet de enige die het niet zag.
Rubinski
22 juni 2011 10:23
Een zeer interessante tool voor webontwikkelaars, ik ga er zeker eens naar kijken!
Maar ik ben ook bang dat hier misbruik van gemaakt zal worden door hackers en dergelijke die deze tool voor andere websites gaan gebruiken om de lekken later eventueel te misbruiken.

[Reactie gewijzigd door Rubinski op 22 juni 2011 10:24]

GateKeaper
22 juni 2011 10:24
Natuurlijk voor webdevelopers een prima addon naast firebug, maar waar firebug helpt om fouten te vinden lijkt deze tool ook prima hackers te kunnen helpen met het vinden van kwetsbare websites.

Verder ontgaat mij de link tussen het artikel en het bezoekersaantal van Google (laatste alinea), maar dat is teveel offtopic ben ik bang.
Rubinski
@GateKeaper22 juni 2011 10:25
Volgens mij hebben ze het in de laatste alinea over de bezoekersaantallen om aan te tonen hoe populair de zoekmachine is. (1 miljard bezoekers is niet niks)
Lisadr
22 juni 2011 14:12
Is er een vergelijkbare tool voor FireFox? Ik ben nieuwsgierig, maar wil niet verplicht Chrome gebruiken om dit te testen.

Er is ook een vergelijkbare Firefox versie, maar niet van Google
http://blog.mindedsecurit...05/dominator-project.html

[Reactie gewijzigd door Lisadr op 22 juni 2011 14:14]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee