DOMFirefoxinator —это расширение Firefox, которое должно войти в джентльменский набор пентестера. Аддон предназначен для анализа и идентификации DOM Based Cross Site Scripting проблем (DOM XSS). Фактически это первый runtime — инструмент, который помогает идентифицировать DOMXSS.

Инструмент доступен в двух различных вариантах: бесплатном и платном (профессиональном). Бесплатная версия DOMinator открыта для community, a Pro имеет дополнительные фичи, типа дополнительной поддержки, улучшенного GUI, более расширенной базы правил и базы знаний.

Для своей работы данный инструмент использует динамическое тейнтирование строк во время работы пользователя с нативным браузером. Строка помечается при входе и трассируется на протяжении всего времени ее использования в браузере. Трассировка таких помеченных строк позволяет понять, действительно ли эксплуатируема DOMXSS.

Для понимания кода инструмент использует технологию Rea.Dy.Da.Ta. (акроним от Realtime Dynamic Data Tainting), которая базируется на нативном JavaScript — движке браузера, что улучшает качество анализа и дает возможность работать с обфусцированным кодом.

На текущий момент DOMinator способен помочь в идентификации reflected DOM Based XSS, но потенциально возможно расширить его и для идентификации stored DOM XSS. Кстати, на сайте есть подробные примеры того, как этот замечательный аддон можно использовать для поиска уязвимостей и их исправления.