Google acaba de lanzar dos nuevas herramientas para desarrolladores con el fin de proteger a los dominios web de vulnerabilidades de secuencias de comandos XSS. XSS, o cross-site scripting, es un tema común en la seguridad cibernética.
Un ataque XSS-powered se lleva a cabo cuando los actores maliciosos ejecutar scripts maliciosos a sitios web legítimos. Una vulnerabilidad XSS es explotado cuando, por ejemplo, enviar un contenido del sitio web que incluye código JavaScript malicioso embebido. El sitio web incluirá más adelante el código en su respuesta. Tales ataques pueden conducir a campañas malvertising, abrevadero y ataques drive-by.
XSS prevalecer en Aplicaciones de Google
Sólo en el pasado 2 año Google el único que tiene más de los investigadores premiados $1.2 millones para reportar fallas XSS en sus aplicaciones a través del Programa de Recompensa vulnerabilidad.
La buena noticia es que las tecnologías web, tales como la estricta contextual de auto-escapar ayudar a los desarrolladores en la evasión de errores que exponen aplicaciones a los ataques XSS. También hay escáneres automáticos que detectan las clases de vulnerabilidades durante las pruebas. No obstante, cuando una aplicación es más complejo para controlar el insecto en el tiempo se hace más difícil.
Contenido Política de Seguridad (CSP) es un mecanismo diseñado para intervenir precisamente cuando ocurren tales errores; que proporciona a los desarrolladores la capacidad de restringir los guiones están autorizados para ejecutar de modo que incluso si los atacantes pueden insertar HTML en una página vulnerables, que no debe ser capaz de cargar scripts maliciosos y otros tipos de recursos.
CSP es una herramienta versátil que permite a los desarrolladores para establecer una amplia gama de políticas y es compatible con todos los navegadores modernos, en algunos casos parcialmente. Sin embargo, en un estudio reciente en el que 1 mil millones de dominios se analizaron Google encontró que 95% de desplegar políticas de CSP no funcionan contra XSS.
Una de las razones fundamentales es que fuera de la 15 dominios más comúnmente en la lista blanca por los desarrolladores para cargar scripts externos tantos como 14 exponer patrones que permiten a los atacantes eludir las protecciones de CSP.
El CSP Evaluador
Así es como llegamos a CSP Evaluador - una herramienta empleada por los ingenieros de Google para tener una mirada más profunda en el efecto de establecer una política. El CSP Evaluador también alerta cada vez que pequeños errores de configuración eventualmente podrían conducir a problemas de XSS. Adicionalmente, Google aconseja a los desarrolladores para establecer un “nonce”- un impredecible, token-usado individuales que sirve para que coincida con un valor establecido en las políticas de CSP. Esto se hace para mejorar la seguridad en la web.
El Mitigator CSP
La otra herramienta Google promovido recientemente es la Mitigator CSP. Es una extensión de Chrome para desarrolladores de aplicaciones para examinar la compatibilidad con CSP basado en nonce.
La extensión puede ser habilitado para que cualquier prefijo URL y recopilará datos sobre los patrones de programación que necesitan ser rediseñado para apoyar CSP. Esto incluye la identificación de secuencias de comandos que no tienen el atributo nonce correcta, la detección de controladores de eventos en línea, javascript: URI, y varios otros patrones más sutiles que podrían necesitar atención.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: