Google har netop frigivet to nye værktøjer til udviklere med det formål at beskytte web-domæner fra XSS scripting sårbarheder. XSS, eller cross-site scripting, er et fælles problem i cybersikkerhed.
En XSS-drevne angreb finder sted, når ondsindede aktører gennemfører ondsindede scripts til legitime websteder. En XSS sårbarhed udnyttes, når du, for eksempel, sende en hjemmeside indhold, der indeholder indlejrede ondsindet JavaScript. Hjemmesiden vil senere omfatte koden i sit svar. Sådanne angreb kan føre til malvertising kampagner, vanding hul og drive-by-angreb.
XSS Fejl og mangler Prevail i Googles Apps
Bare i fortiden 2 år Google alene har tildelt forskere end $1.2 millioner til rapportering XSS fejl i deres ansøgninger via Vulnerability Reward Program.
Den gode nyhed er, at web-teknologier som den strenge kontekstuelle automatisk undslippe hjælpe udviklere med at unddrage sig fejl udsætter apps til XSS-angreb. Der er også automatiske scannere, der registrerer klasser af sårbarheder under test. Ikke desto mindre, når en app er mere kompleks fange fejlen på tiden bliver vanskeligere.
Indhold sikkerhedspolitik (CSP) er en mekanisme til at træde i netop når sådanne bugs ske; det giver udviklere mulighed for at begrænse, hvilke scripts får lov til at udføre så selvom angribere kan injicere HTML ind i en sårbar side, de bør ikke være i stand til at indlæse ondsindede scripts og andre typer af ressourcer.
CSP er et alsidigt værktøj gør det muligt for udviklere at indstille en lang række politikker og den understøttes af alle moderne browsere, i nogle tilfælde delvis. Men, i en nylig undersøgelse, hvor 1 milliard domæner blev analyseret Google fandt, at 95% af indsat CSP politikker ikke modarbejder XSS.
En af de underliggende årsager er, at ud af den 15 domæner oftest whitelisten af udviklere til at indlæse eksterne scripts så mange som 14 eksponere mønstre, der tillader hackere at omgå CSP beskyttelser.
CSP evalueringsværktøj
Dette er, hvordan vi kommer til CSP evalueringsværktøj - et værktøj ansat af Google ingeniører til at have en dybere kig ind i virkningen af fastsættelsen af en politik. CSP Evaluator advarer også, når små fejlkonfigurationer i sidste ende kan føre til XSS -problemer. Desuden, Google råder udviklere til at indstille en "nonce"- en uforudsigelig, enkelt brugt token, der tjener til at matche en værdi, der er angivet i CSP-politikker. Dette gøres for at forbedre websikkerheden.
CSP Mitigator
Det andet værktøj, Google for nylig promoverede, er CSP Mitigator. Det er en Chrome-udvidelse, hvor udviklere kan gennemgå kompatibilitets-apps med ikke-baseret CSP.
Udvidelsen kan aktiveres for ethvert URL -præfiks og vil indsamle data om alle programmeringsmønstre, der skal refaktoreres for at understøtte CSP. Dette omfatter identifikation af scripts, der ikke har den korrekte nonce -attribut, detektering af inline -hændelsesbehandlere, javascript: URI'er, og flere andre mere subtile mønstre, som måske har brug for opmærksomhed.