<div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">Stefano. I really appreciate your time answering my concerns .</span><br><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div>
<div style><span style="font-family:arial,sans-serif;font-size:13px">So things are promising, I frankly agree with you regarding the FN & FP.</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px"><br>
</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">and i think its going to be a very powerful/best tool if the memory issue and automation have been resolved</span><span style="font-family:arial,sans-serif;font-size:13px">.</span></div>
<div style><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">again, thanks and looking for your new awesome version .. good luck.</span></div>
<div style><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">-Ala'a</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px"><br>
</span></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Mar 21, 2013 at 4:05 PM, Stefano Di Paola <span dir="ltr"><<a href="mailto:stefano@owasp.org" target="_blank">stefano@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thank you Al'a,<br><br>Let me first do a little explaination on how DOMinatorPro is composed.<br>1. Open Source Part: the tainting engine which is a modified version of Firefox 8 <br>
  <a href="https://github.com/wisec/DOMinator" target="_blank">https://github.com/wisec/DOMinator</a><br>
2. the (commercial) analyser and monitor extension which uses the taint engine and adds advanced analysis techniques and a vulnerability KB.<br><br>What the trial gives you is the compiled version for your OS of the engine and a limited version of the extension to show the <br>

potential of the runtime approach.<br><br>Inline for the rest =) :<br><br><div class="gmail_quote"><div class="im">On Thu, Mar 21, 2013 at 12:36 PM, Ala'a Mubaied <span dir="ltr"><<a href="mailto:alaa.mubaied@owasp.org" target="_blank">alaa.mubaied@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks Stefano.<div><br></div><div>Good to catch up with you here :)</div><div><br></div><div>Actually i was talking mainly on <span style="font-family:arial,sans-serif;font-size:13px">DOMinator Pro version.</span></div>


<div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">I have used it for almost two weeks, I run it on my Mac laptop, and here are my comments :</span></div>


<div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><div><font face="arial, sans-serif">- it finds DOM XSS issues, good.</font></div></div></div></blockquote></div><div><br>Ok :) <br>So "not much effective of detecting DOM issues" was an high level resume? jk :)<br>

 </div><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><font face="arial, sans-serif">- It has problems with stability - </font><span style="font-family:arial,sans-serif">memory management- it </span><span style="font-family:arial,sans-serif">crashes about every 10-15 minutes</span></div>

</div></div></blockquote></div><div> <br>Agree. There are memory issues which have been "partially" solved in the full version extension.<br>I'm in the process to port it to Firefox 20+ to solve them for good.<br>

<br></div><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>
<div><div><span style="font-family:arial,sans-serif">- usability issues (false positives) especially with XHR.</span></div></div></div></div></blockquote></div><div><br>Ahhh, False Positives and False Negatives... :D<br>
<br>Indeed, I'm sure you are aware that software analyzers are not going to be perfect anytime soon, right?<br>
<br>Ask Jeremiah Grossman, Ory Segal, Simon Bennets, Jim Manico, Ferruh Mavituna, Arshan Dabirshiaghi and the other people<br>that are more experienced than me about the low hanging fruits and automated scanners.<br><br>
Likely those with XHR are strongly dependent on the logic part of the application. <br>
<br>It would be interesting to talk about Stored/Indirect DOM Based XSS which could lead to FN and FP as well.<br>I'm thinking about giving a talk about those advanced issues and how to identify them.<br><br>That said, assuming you hit a FP, surely I can improve some algorithm to further minimize them,<br>

but I also think we can have a veeery looong talk about them and how the other approaches<br>and techniques deal with them. That is analogous for false negatives of course :)<br><br> </div><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr"><div><div><font face="arial, sans-serif">meanwhile, any plans to make the tool run automatically to scan the site, instead of manual clicking ?</font></div>
<div><font face="arial, sans-serif"></font></div></div></div></blockquote></div><div><br>Yes, there's a Selenium support since earlier versions so one can actually use it to create his own scanner, and there's a scanner in development for the  DOMinatorPro Enterprise edition.<br>

<br>Cheers and thank for your comments,<br>Stefano<br> </div><div><div class="h5"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><font face="arial, sans-serif">Thanks </font></div>

<span><font color="#888888"><div><font face="arial, sans-serif">Ala'a</font></div></font></span></div></div><div><div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Thu, Mar 21, 2013 at 1:08 PM, Stefano Di Paola <span dir="ltr"><<a href="mailto:stefano@owasp.org" target="_blank">stefano@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


Ala'a,<br><br>since I'm the author of DOMinator and DOMinatorPro, I'll try to be as unbiased as possible :) <br><br>1.<br><a href="http://www.google.it/search?q=dom+xss+scanner&aq=f&oq=dom+xss+scanner&sourceid=chrome&ie=UTF-8" target="_blank">http://www.google.it/search?q=dom+xss+scanner&aq=f&oq=dom+xss+scanner&sourceid=chrome&ie=UTF-8</a><br>



Lists:<br>domxssscanner  //  RegExp Based <br>ra2-dom-xss-scanner // Blind Fuzzer <br>DOMinatorPro /// Runtime Analyzer<br>IBM JSA  // Static Analyzer<br>..<br><br>You can compare them with your testbed and see what's better.<br>



<br>2.: <br>Although this is maybe not the place to talk about it, I'd like have some more elaborate opinion of yours on DOMinator.<br><br>About your opinion on the effectiveness on detecting DOM issues I'd like to talk about it - publicly or privately as you wish.<br>



<br>Which DOMinator are you referring to? The Pro version hosted on <br><a href="https://dominator.mindedsecurity.com/" target="_blank">https://dominator.mindedsecurity.com/</a><br>or the old community version hosted on <a href="http://code.google.com/p/dominator/" target="_blank">http://code.google.com/p/dominator/</a> ?<br>



<br>I'd like to be clear that if you have some usage problems to report, I am more than happy to help. Same for bugs.<br><br><br>Cheers,<br>Stefano<br><br><br><div class="gmail_quote"><div><div>On Thu, Mar 21, 2013 at 9:55 AM, Ala'a Mubaied <span dir="ltr"><<a href="mailto:alaa.mubaied@owasp.org" target="_blank">alaa.mubaied@owasp.org</a>></span> wrote:<br>



</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr"><div>Hi Leaders,</div><div><br></div>I'm aware of Dominator, but it has a lot of crashes due to memory consumptions and not much effective of detecting DOM issues.<div>



<br></div><div>any other suggestions ?</div>
<div><br></div><div>Thanks </div><span><font color="#888888"><div>Ala'a</div></font></span></div>
<br></div></div><div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></div></blockquote></div><br>
</blockquote></div><br></div>
</div></div></blockquote></div></div></div><br>
</blockquote></div><br></div>