Google vient de publier deux nouveaux outils pour les développeurs dans le but de protéger les domaines web de vulnérabilités de script XSS. XSS, ou cross-site scripting, est un problème commun dans la cybersécurité.
Une attaque XSS puissance a lieu lorsque les acteurs malveillants mettent en œuvre des scripts malveillants à des sites Web légitimes. Une vulnérabilité XSS est exploitée lorsque vous, par exemple, envoyer un contenu de site Web qui comprend embedded JavaScript malveillant. Le site sera ensuite inclure le code dans sa réponse. De telles attaques peuvent conduire à des campagnes malveillante liée, abreuvoir et attaques drive-by.
XSS dans Flaws Prevail Apps de Google
Juste dans le passé 2 ans Google seul a accordé plus de chercheurs $1.2 millions pour signaler des failles XSS dans leurs applications via le Programme de récompense de la vulnérabilité.
Les bonnes nouvelles sont que les technologies Web telles que l'auto-escaping contextuelle stricte aider les développeurs à se soustraire à des erreurs des applications à exposer les attaques XSS. Il existe également des scanners automatiques qui détectent les classes de vulnérabilités lors des essais. Cependant, quand une application est plus complexe attrapant le bug sur le temps devient plus difficile.
Contenu de la politique de sécurité (CSP) est un mécanisme conçu pour intervenir précisément lorsque ces bogues se produisent; il fournit aux développeurs la possibilité de restreindre les scripts sont autorisés à exécuter de sorte que même si les attaquants peuvent injecter HTML dans une page vulnérable, ils ne devraient pas être en mesure de charger des scripts malveillants et d'autres types de ressources.
CSP est un outil polyvalent permettant aux développeurs de définir un large éventail de politiques et il est pris en charge par tous les navigateurs modernes, dans certains cas, en partie. Cependant, dans une étude récente où 1 milliards de domaines ont été analysés Google a révélé que 95% des politiques déployées CSP ne fonctionnent pas contre XSS.
L'une des raisons sous-jacentes est que sur la 15 domaines le plus souvent par les développeurs pour la liste blanche du chargement des scripts externes autant que 14 exposer les modèles qui permettent de contourner les protections des attaquants CSP.
Le CSP Evaluator
Voilà comment nous arrivons à CSP Evaluator - un outil utilisé par les ingénieurs de Google pour avoir un regard plus profond dans l'effet de fixer une politique. Le CSP Evaluator avertit également chaque fois que de petites erreurs de configuration pourrait éventuellement conduire à des problèmes XSS. En outre, Google conseille aux développeurs de définir un « nonce »- imprévisible, jeton unique utilisé qui sert à correspondre à une valeur définie dans les politiques de CSP. Ceci est fait pour améliorer la sécurité Web.
Le CSP Mitigator
L'autre outil Google récemment promu est le Mitigator CSP. Il est une extension Chrome pour les développeurs d'examiner des applications de compatibilité avec CSP base-nonce.
L'extension peut être activée pour tout préfixe d'URL et de recueillir des données sur tous les modèles de programmation qui doivent être refondus pour soutenir CSP. Cela comprend l'identification des scripts qui n'ont pas l'attribut correct nonce, détecter des gestionnaires d'événements inline, javascript: URIs, et plusieurs autres modèles plus subtiles qui pourraient avoir besoin d'attention.