Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Google heeft een testtool uitgebracht waarmee sites kunnen worden onderzocht op kwetsbaarheden aan de client-zijde. De tool, DOM Snitch genaamd, onderschept javascript-calls om te kijken of bijvoorbeeld cross site scripting mogelijk is.

De onlangs aangekondigde tool is een Chrome-extensie die in realtime dom-wijzigingen toont. Daarbij worden javascript-calls die een beveiligingsprobleem vormen, als zodanig aangeduid op een schaal van groen voor een probleem met kleine beveiligingsimpact tot rood voor een daadwerkelijk beveiligingsprobleem. Met de tool kunnen onder andere kwetsbaarheden worden opgespoord die cross site scripting, waarbij kwaadwillenden hun eigen content kunnen inladen, mogelijk maken.

Normaliter geeft de tool een lijst van dom-calls weer als een webpagina wordt geladen, maar testers kunnen de tool ook gebruiken om javascript-calls te manipuleren voordat ze worden uitgevoerd. Ironisch genoeg bevat Google Code, waarop de tool wordt gehost, volgens de tool een aantal calls die een kleine invloed op de beveiliging kunnen hebben.

Moderatie-faq Wijzig weergave

Reacties (33)

Google had iets moeten inbouwen dat de tool alleen werkt als bijvoorbeeld bestandje x aanwezig is op de server. Op deze manier wordt het voor hackers steeds gemakkelijker.

En de 1 miljard, zijn dat unieke bezoekers? Ik ben daar één van :*)

[Reactie gewijzigd door Beatboxx op 22 juni 2011 10:28]

Stuur het eens naar Google als Feedback. Ze gebruiken dat ook bij Google Apps om aan te tonen dat jij de eigenaar bent van de opgegeven domein.
Aangezien er velen vergelijkbare en naar alle waarschijnlijkheid betere tools beschikbaar zijn (al dan niet tegen betaling) denk ik niet dat Google er wakker van zal liggen dat wellicht deze tool ervoor misbruikt kan worden.
Zo kun je dus ook heel makkelijk bij andere (concurrerende?) websites kijken of er lekken zijn, en deze eventueel misbruiken.

Voor webdevelopers dus zaak om zelf tijdens het ontwikkelen ook goed deze tool te gebruiken!

/edit: typo

@hieronder: Tuurlijk is het bedoeld voor je eigen site, en de meeste zullen het hier ook wel voor gebruiken. Maar zouden niet ook veel mensen/hackers/developers stiekem bij andere sites kijken of ze daar niet iets kunnen vinden? De drempel om iets te "hacken" wordt op deze manier imo verlaagd.

[Reactie gewijzigd door Ypho op 22 juni 2011 10:26]

Dat dacht ik dus ook meteen...
Is het dan ook wel zo verstandig om zon openbare tool te hebben?

Ok, kwaadwillende komen er toch wel achter, maar t word zo wel steeds makkelijker....
Is het dan ook wel zo verstandig om zon openbare tool te hebben?
Ok, kwaadwillende komen er toch wel achter, maar t word zo wel steeds makkelijker....
Er zijn al jaren special distro's zoals Backtrack of frameworks als Metasploit waar nog veel meer zaken in zitten (Google test hier alleen front-end clientside). Je kunt inderdaad vervelende zaken uithalen met deze tools, maar ze zijn ook beschikbaar voor de security professionals, die hiermee hun eigen producten en sites kunnen testen.
Maar ook steeds makkelijker om je site WEL goed te beveiligen :)

Een mes kan ook goed en kwaad gebruikt worden, waar kies jij voor?
Agreed, maar door de vele scripting en menselijke fouten blijven er ook steeds meer "backdoors" open. Ik snap je bedoeling, maar ik ben zelf van mening dat er over t algemeen te weinig gedaan word aan degelijke beveiliging....

Begrijp me niet verkeerd - maar kijk hoe makkelijk het is om gegevens uit een database te krijgen. De laatste 2-3 maanden zijn er zoveel "hacks" gepleegd welke gerelateerd waren aan slechte beveiliging dat ik niet echt het gevoel heb dat er voorheen veel aandacht aan besteed werd.

Aan de kant van google denk ik ook dat dit een reden is om juist nu met zo'n soort tool te komen, en ik gok dan ook dat er meerdere van dit soort tools bij google en concollega's zullen opduiken de komende weken/maanden voor verschillende scripting talen.....
De mensen met kwade bedoelingen zouden deze tools zoiezo wel ter beschikking hebben. Of google dit nu openbaart of niet. Deze tools gesloten houden is alleen maar dommer, want dan kunnen kwaadarige mensen hun gang gaan terwijl websitemakers hier dan niet naar omkijken.

Het gesloten houden van deze tools is eigenlijk ook gewoon volledig security by obscurity, wat altijd een slecht principe is om op te vertrouwen.
Ik heb ook het idee dat bij client-side scripting nog onvoldoende gebruik wordt gemaakt van unit tests en patterns. Ik bedoel, als je eerlijk bent, schrijf jij altijd tegen tests? Die gewoonte kan wel eventuele hacks helpen voorkomen en iig sneller oplosbaar maken.
Eigenlijk is het idee van front-end als het kneusje van de klas de wereld op zijn kop: je webinterface is immers het ding waar je - als het goed is - je model tegenaan programmeert en in die zin het sleutelonderdeel. Juist hier zijn tests en patterns dan ook belangrijk, en deze tool kan helpen om ze te formuleren.
Mijns inziens is dat juist goed: je mag er toch vanuit gaan dat een site goed beveiligd is? Deze tool zal ervoor zorgen dat developers zich er meer van bewust zijn hoe veilig de site/webapplicatie is die ze maken.
Ik vind het op zichzelf een nobel idee van Google, om mensen te helpen met security-flaws, alleen daar zit imo ook een verplichting aan vast, om dit bijv. op de startpagina te melden dat deze tooling bestaat en mensen erop bewust te maken hem te gebruiken.
Zo geef je scriptkiddies maar een beperkt timeframe om ongein uit te halen.

Eigenlijk verplicht Google je om dit uit te voeren, je hebt weinig andere keus- doe je het niet, dan loop je risico's (een soort soa-test voor je website :')) dus Google zet even de hele wereld aan het werk, lijkt het. Anderzijds; wat is de andere optie? De tool beperkt beschikbaar stellen, op aanvraag bijv.- zorgt ervoor dat kwaadwillende personen hem altijd vinden en de rest van meute niet? Dit is ook geen optie. Dat wordt testen dus!

Edit: Het schijnt dat de NL-overheid al goed bezig is:
http://www.nu.nl/internet...oorbereid-hackaanval.html

[Reactie gewijzigd door johncheese002 op 22 juni 2011 10:53]

Als de kwaadwillige zo slecht met computers om kan gaan dan zou ik als potentieel doelwit niet eens bang zijn. Dit is misschien een stap dichterbij naar een veiliger internet, maar BackTrack staat altijd nog om de hoek. En deze kan met 2 Youtube filmpjes worden gebruikt als een heuse 'crackingtool' ipv een relatief simpel java-exploit checkertje.
De drempel om iets te "hacken" wordt op deze manier imo verlaagd.
De drempel om te zorgen dat je je eigen site op orde hebt, wordt hiermee net zo goed verlaagd. Ik zie dus je probleem niet.
Hoeveel studenten of hobby website bouwers zijn er wel niet die websites maken voor kleine bedrijfjes met een laag budget? Dit zijn vaak websites die even snel in elkaar gelfanst worden (of een CMS als Joomla/Wordpress etc gebruikt wordt). Hier wordt vervolgens niet meer naar omgekeken door de bouwer, of het CMS niet meer geupdate. Ik kan alleen al bij mij in de regio een aantal kleine winkeltjes noemen die een simpele website in elkaar hebben laten zetten waarvan ik durf te zeggen dat de helft wel ergens onveilig is, en hier wordt dan vervolgens niets mee gedaan. (Ook ik zoek wel eens naar backdoors/XSS mogelijkheden in websites,)
Je moet je auto ook netjes onderhouden, anders krijg je een boete.

Amateurs moeten gewoon lekker iets anders gaan doen.
Goed, een foutje kan gebeuren,maar wat jij hier schetst is gewoon zonder kennis van zaken onder de kostprijs duiken door de kantjes eraf te lopen en zo een gevaarlijke site opleveren.
ja... waar niemand een auto wil waarbij de achterbak niet op slot of uberhaupt dicht kan... is dat bij een website niet zo duidelijk zichtbaar.

daarnaast hebben teveel mensen de mentaliteit... maar het werkt toch?
of bij je eigen site kijken of je beveiliging in orde is. waar het dus ook voor bedoeld is.
Zouden ze niets een beveiliging hebben als Analatics of Webmaster tools?
dat je een bepaald bestand of mapje op je server moet aanmaken ?

zo maken ze het inderdaad voor iedereen makkelijk.
Net even geprobeerd maar het lijkt erop dat je elke site zo kunt analyseren.
Daar is het noodzakelijk dat je iets aan de serverkant toevoegt om ervoor te zorgen dat Google er inzicht in krijgt. Hier is het andersom, ze testen de clientside.. dus wat kan je zonder dat je toegang tot de server hebt anders dan via de site zelf.

[edit]
En zoals ik hierboven al had gepost, er zijn al vele programma's die waarschijnlijk nog een stapje verder gaan en die waren er al voordat deze tool überhaupt was aangekondigd.

[Reactie gewijzigd door Xthemes.us op 22 juni 2011 13:42]

Euuh... waarschijnlijk ben ik gewoon kippig en zie ik het niet.
Maar hoe gebruik je dit ding?
Ik krijg geen icoontje naast m'n adresbalk.
En ik zie geen mogelijkheid de extention te starten als ik m'n site geladen heb...
Rechtermuisknop op de pagina > DOM Snitch ;)
haha, dat is handig.
Anders zet je dat even in je manual mr. Google...

En in onze web-applicatie staat het standaard context menu van de browser natuurlijk gewoon uit...
Probeer eens de alt-menu windows key op je toetsenbord.
Bij 99% van de sites waar de rechtermuisknop is 'uitgeschakeld' vangen ze alleen de rechtermuisklik af, niet de alt-menu zelf :)
of je disabled javascript even in je browser als je die toets niet hebt
ExtJS het javascript framework dat ik gebruik vangt het context menu prima af. Of het nou via ALT of rechter muisknop opgeroepen wordt.

Disabelen javascript is niet echt een optie. Dan doet de site helemaal niets meer, is het gewoon blank. Omdat het niet echt een publieke site is, maar een web applicatie voor specifieke gebruikers, is dat geen probleem...
die pop-ups zijn echt stront-irritant....
en voor diegenen die echt je content willen jatten die doen dat toch wel... volgens mij is het greasemonkey-script wat zo'n functie/controle uitschakeld zo gemaakt
het enige wat je dan bereikt hebt is dat het voor niemand handig/makkelijk is om wat van je site te downloaden...

Dan kan je zeggen, dat is ook het doel... maar de gebruiker die niet om het pop-upje heen kan werken was toch niet degene die heel veel kwaad kan...
Zie hier: https://code.google.com/p/domsnitch/wiki/FAQ
Je was niet de enige die het niet zag.
Een zeer interessante tool voor webontwikkelaars, ik ga er zeker eens naar kijken!
Maar ik ben ook bang dat hier misbruik van gemaakt zal worden door hackers en dergelijke die deze tool voor andere websites gaan gebruiken om de lekken later eventueel te misbruiken.

[Reactie gewijzigd door Rubinski op 22 juni 2011 10:24]

Natuurlijk voor webdevelopers een prima addon naast firebug, maar waar firebug helpt om fouten te vinden lijkt deze tool ook prima hackers te kunnen helpen met het vinden van kwetsbare websites.

Verder ontgaat mij de link tussen het artikel en het bezoekersaantal van Google (laatste alinea), maar dat is teveel offtopic ben ik bang.
Volgens mij hebben ze het in de laatste alinea over de bezoekersaantallen om aan te tonen hoe populair de zoekmachine is. (1 miljard bezoekers is niet niks)
Is er een vergelijkbare tool voor FireFox? Ik ben nieuwsgierig, maar wil niet verplicht Chrome gebruiken om dit te testen.

Er is ook een vergelijkbare Firefox versie, maar niet van Google
http://blog.mindedsecurit...05/dominator-project.html

[Reactie gewijzigd door Lisadr op 22 juni 2011 14:14]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True