Google frigiver 2 Ny Dev værktøjer til at beskytte mod XSS - Hvordan, Teknologi og pc-sikkerhed Forum | SensorsTechForum.com
CYBER NEWS

Google frigiver 2 Ny Dev værktøjer til at beskytte mod XSS

1 Star2 Stars3 Stars4 Stars5 Stars (Ingen stemmer endnu)
Loading ...

sårbarhed-header-stforum

Google har netop frigivet to nye værktøjer til udviklere med det formål at beskytte web-domæner fra XSS scripting sårbarheder. XSS, eller cross-site scripting, er et fælles problem i cybersikkerhed.

En XSS-drevne angreb finder sted, når ondsindede aktører gennemfører ondsindede scripts til legitime websteder. En XSS sårbarhed udnyttes, når du, for eksempel, sende en hjemmeside indhold, der indeholder indlejrede ondsindet JavaScript. Hjemmesiden vil senere omfatte koden i sit svar. Sådanne angreb kan føre til malvertising kampagner, vanding hul og drive-by-angreb.

Relaterede: 6 Cyber ​​Security Services til at beskytte dig og din hjemmeside

XSS Fejl og mangler Prevail i Googles Apps

Bare i fortiden 2 år Google alene har tildelt forskere end $1.2 millioner til rapportering XSS fejl i deres ansøgninger via Vulnerability Reward Program.

Den gode nyhed er, at web-teknologier som den strenge kontekstuelle automatisk undslippe hjælpe udviklere med at unddrage sig fejl udsætter apps til XSS-angreb. Der er også automatiske scannere, der registrerer klasser af sårbarheder under test. Ikke desto mindre, når en app er mere kompleks fange fejlen på tiden bliver vanskeligere.

Indhold sikkerhedspolitik (CSP) er en mekanisme til at træde i netop når sådanne bugs ske; det giver udviklere mulighed for at begrænse, hvilke scripts får lov til at udføre så selvom angribere kan injicere HTML ind i en sårbar side, de bør ikke være i stand til at indlæse ondsindede scripts og andre typer af ressourcer.

CSP er et alsidigt værktøj gør det muligt for udviklere at indstille en lang række politikker og den understøttes af alle moderne browsere, i nogle tilfælde delvis. Men, i en nylig undersøgelse, hvor 1 milliard domæner blev analyseret Google fandt, at 95% af indsat CSP politikker ikke modarbejder XSS.

En af de underliggende årsager er, at ud af den 15 domæner oftest whitelisten af ​​udviklere til at indlæse eksterne scripts så mange som 14 eksponere mønstre, der tillader hackere at omgå CSP beskyttelser.

Relaterede: Googles Øger Chromebook Sikkerhed

CSP evalueringsværktøj

Dette er, hvordan vi kommer til CSP evalueringsværktøj - et værktøj ansat af Google ingeniører til at have en dybere kig ind i virkningen af ​​fastsættelsen af ​​en politik. The CSP Evaluator also alerts whenever small misconfigurations could eventually lead to XSS issues. Desuden, Google advises developers to set a “nonce”- an unpredictable, single-used token which serves to match a value set in CSP policies. This is done to improve web security.

The CSP Mitigator

The other tool Google recently promoted is the CSP Mitigator. It’s a Chrome extension for developers to review compatibility apps with nonce-based CSP.

The extension can be enabled for any URL prefix and will collect data about any programming patterns that need to be refactored to support CSP. This includes identifying scripts which do not have the correct nonce attribute, detecting inline event handlers, javascript: URIs, and several other more subtle patterns which might need attention.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler!

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...