Google hat soeben zwei neue Tools für Entwickler mit dem Ziel, Web-Domains von XSS-Scripting-Lücken abschirmen. XSS, oder Cross-Site Scripting, ist ein häufiges Problem in Cyber.
Ein XSS betriebene Angriff findet statt, wenn böswillige Akteure bösartige Skripte auf legitime Websites implementieren. Eine XSS-Schwachstelle ausgenutzt, wenn Sie, beispielsweise, Bitte senden Sie eine Website-Inhalte, die eingebettete schädliche JavaScript enthält. Die Website beinhaltet später den Code in ihrer Antwort. Solche Angriffe können zu Malvertising Kampagnen führen, Wasserloch und Drive-by-Attacken.
XSS Flaws Prevail in Google Apps
Gerade in der Vergangenheit 2 Jahre Google allein hat ausgezeichnet Forscher über $1.2 Millionen über den Vulnerability Reward Program in ihren Anwendungen XSS Fehler berichten.
Die gute Nachricht ist, dass Web-Technologien wie die strikte kontextuellen Auto-Flucht unterstützen Entwickler bei der Umgehung Fehler Anwendungen zu XSS-Angriffe auszusetzen. Darüber hinaus gibt es automatisierte Scanner, die Klassen von Schwachstellen bei der Prüfung erkennen. Dennoch, wenn eine App ist komplexer, den Fehler auf den Fang Zeit immer schwieriger wird,.
Inhalt Sicherheitspolitik (CSP) ist ein Mechanismus, wenn solche Fehler zu Schritt in genau entworfen passieren; es bietet Entwicklern die Möglichkeit, so die Skripte beschränken dürfen auszuführen, dass selbst wenn Angreifer HTML-Code in eine verwundbare Seite injizieren, sie sollten nicht bösartige Skripte und andere Arten von Ressourcen laden können,.
CSP ist ein vielseitiges Tool ermöglicht Entwicklern eine breite Palette von Maßnahmen zu setzen und es wird von allen modernen Browsern unterstützt, in einigen Fällen teilweise. Jedoch, in einer aktuellen Studie, in der 1 Milliarden-Domains wurden analysiert Google festgestellt, dass 95% der eingesetzten CSP Richtlinien funktionieren nicht gegen XSS.
Einer der Gründe hierfür ist, dass aus der 15 Domains am häufigsten für das Laden externer Skripte wie viele von den Entwicklern der weißen Liste als 14 belichten Muster, die Angreifer CSP Umzäunungen umgehen.
Die CSP Evaluator
Dies ist, wie wir CSP Evaluator bekommen - ein Werkzeug von Google-Ingenieure beschäftigt einen tieferen Einblick in die Wirkung zu haben, eine Politik der Einstellung. Die CSP Evaluator warnt auch, wenn kleine Fehlkonfigurationen schließlich zu XSS Problemen führen könnten. Außerdem, Google rät Entwicklern eine „Nonce“ zu setzen- eine unberechenbare, Single-Token verwendet, die einen Wert in CSP Richtlinien festlegen anzupassen dient. Dies geschieht, Web-Sicherheit zu verbessern.
Die CSP Mitigator
Das andere Werkzeug Google vor kurzem gefördert ist der CSP Mitigator. Es ist eine Chrome-Erweiterung für Entwickler Kompatibilität Anwendungen mit Nonce-basierten CSP bewertet.
Die Erweiterung kann für jeden URL-Präfix aktiviert werden und Daten über jegliche Programmiermuster sammeln, die CSP zu Refactoring unterstützen müssen. Dazu gehört die Identifizierung Skripte, das Attribut nicht das richtige nonce habe, Erfassen Inline Event-Handler, Javascript: URIs, und mehrere andere subtilere Muster, die vielleicht brauchen Aufmerksamkeit.