简介:

滥用可信类型来发现 XSS 接收器。
发现并测试传递到接收器中的可能导致 DOM XSS 漏洞的输入。

sink 是一种代码模式，如果输入是恶意的，它可以运行任意 JavaScript 代码，例如：innerHTML、eval、document.write。

此扩展向 DevTools 添加了一个面板，您可以在其中查看/过滤接收器日志并自定义设置。

发现在接收器中传递的关键字（默认情况下："d0mxss"）将在扩展和控制台中突出显示。

然后，您可以找到特定日志的堆栈跟踪：
1.点击复制ID，
2. 打开 Console>Filter 并粘贴 ID，
3. 现在您可以检查堆栈跟踪。单击函数名称以在"源"选项卡中将其打开。

插件下载: