Untrusted Types for DevTools
1.1.1
截图:
简介:
滥用可信类型来发现 XSS 接收器。
发现并测试传递到接收器中的可能导致 DOM XSS 漏洞的输入。
sink 是一种代码模式,如果输入是恶意的,它可以运行任意 JavaScript 代码,例如:innerHTML、eval、document.write。
此扩展向 DevTools 添加了一个面板,您可以在其中查看/过滤接收器日志并自定义设置。
发现在接收器中传递的关键字(默认情况下:“d0mxss”)将在扩展和控制台中突出显示。
然后,您可以找到特定日志的堆栈跟踪:
1.点击复制ID,
2. 打开 Console>Filter 并粘贴 ID,
3. 现在您可以检查堆栈跟踪。单击函数名称以在“源”选项卡中将其打开。
