Zuhause > Cyber ​​Aktuelles > Google-Veröffentlichungen 2 Neue Entwicklungstools gegen XSS zu schützen
CYBER NEWS

Google Releases 2 Neue Entwicklungstools gegen XSS zu schützen

Verwundbarkeit-header-stforum

Google hat soeben zwei neue Tools für Entwickler mit dem Ziel, Web-Domains von XSS-Scripting-Lücken abschirmen. XSS, oder Cross-Site Scripting, ist ein häufiges Problem in Cyber.

Ein XSS betriebene Angriff findet statt, wenn böswillige Akteure bösartige Skripte auf legitime Websites implementieren. Eine XSS-Schwachstelle ausgenutzt, wenn Sie, beispielsweise, Bitte senden Sie eine Website-Inhalte, die eingebettete schädliche JavaScript enthält. Die Website beinhaltet später den Code in ihrer Antwort. Solche Angriffe können zu Malvertising Kampagnen führen, Wasserloch und Drive-by-Attacken.

verbunden: 6 Cyber ​​Security Services Sie und Ihre Website zu schützen

XSS Flaws Prevail in Google Apps

Gerade in der Vergangenheit 2 Jahre Google allein hat ausgezeichnet Forscher über $1.2 Millionen über den Vulnerability Reward Program in ihren Anwendungen XSS Fehler berichten.

Die gute Nachricht ist, dass Web-Technologien wie die strikte kontextuellen Auto-Flucht unterstützen Entwickler bei der Umgehung Fehler Anwendungen zu XSS-Angriffe auszusetzen. Darüber hinaus gibt es automatisierte Scanner, die Klassen von Schwachstellen bei der Prüfung erkennen. Dennoch, wenn eine App ist komplexer, den Fehler auf den Fang Zeit immer schwieriger wird,.

Inhalt Sicherheitspolitik (CSP) ist ein Mechanismus, wenn solche Fehler zu Schritt in genau entworfen passieren; es bietet Entwicklern die Möglichkeit, so die Skripte beschränken dürfen auszuführen, dass selbst wenn Angreifer HTML-Code in eine verwundbare Seite injizieren, sie sollten nicht bösartige Skripte und andere Arten von Ressourcen laden können,.

CSP ist ein vielseitiges Tool ermöglicht Entwicklern eine breite Palette von Maßnahmen zu setzen und es wird von allen modernen Browsern unterstützt, in einigen Fällen teilweise. Jedoch, in einer aktuellen Studie, in der 1 Milliarden-Domains wurden analysiert Google festgestellt, dass 95% der eingesetzten CSP Richtlinien funktionieren nicht gegen XSS.

Einer der Gründe hierfür ist, dass aus der 15 Domains am häufigsten für das Laden externer Skripte wie viele von den Entwicklern der weißen Liste als 14 belichten Muster, die Angreifer CSP Umzäunungen umgehen.

verbunden: Google Chromebook Sicherheit erhöht

Die CSP Evaluator

Dies ist, wie wir CSP Evaluator bekommen - ein Werkzeug von Google-Ingenieure beschäftigt einen tieferen Einblick in die Wirkung zu haben, eine Politik der Einstellung. Die CSP Evaluator warnt auch, wenn kleine Fehlkonfigurationen schließlich zu XSS Problemen führen könnten. Außerdem, Google rät Entwicklern eine „Nonce“ zu setzen- eine unberechenbare, Single-Token verwendet, die einen Wert in CSP Richtlinien festlegen anzupassen dient. Dies geschieht, Web-Sicherheit zu verbessern.

Die CSP Mitigator

Das andere Werkzeug Google vor kurzem gefördert ist der CSP Mitigator. Es ist eine Chrome-Erweiterung für Entwickler Kompatibilität Anwendungen mit Nonce-basierten CSP bewertet.

Die Erweiterung kann für jeden URL-Präfix aktiviert werden und Daten über jegliche Programmiermuster sammeln, die CSP zu Refactoring unterstützen müssen. Dazu gehört die Identifizierung Skripte, das Attribut nicht das richtige nonce habe, Erfassen Inline Event-Handler, Javascript: URIs, und mehrere andere subtilere Muster, die vielleicht brauchen Aufmerksamkeit.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau