Google ha appena rilasciato due nuovi strumenti per gli sviluppatori con lo scopo di proteggere i domini web da XSS vulnerabilità di scripting. XSS, o cross-site scripting, è un problema comune in sicurezza informatica.
Un attacco XSS-alimentato avviene quando gli attori maligni implementare script dannosi a siti web legittimi. Una vulnerabilità XSS viene sfruttata quando si, per esempio, inviare un contenuto del sito web che include incorporato dannoso JavaScript. Il sito sarà poi includere il codice nella sua risposta. Tali attacchi possono portare a campagne malvertising, foro e gli attacchi drive-by irrigazione.
Difetti XSS prevalere in Apps di Google
Proprio nel passato 2 anni Google da solo ha i ricercatori premiati oltre $1.2 milioni per la segnalazione falle XSS nelle loro applicazioni tramite il programma Vulnerability Reward.
La buona notizia è che le tecnologie web come la stretta contestuale auto-fuga assistere gli sviluppatori nella eludere errori esporre applicazioni da attacchi XSS. Ci sono anche scanner automatici che rilevano classi di vulnerabilità durante le prove. Ciò nonostante, quando un app è più complessa la cattura il bug in tempo diventa più difficile.
Criteri di protezione dei contenuti (CSP) è un meccanismo progettato per intervenire proprio quando tali errori accadono; Esso fornisce agli sviluppatori la possibilità di limitare quali script sono autorizzati ad eseguire in modo che, anche se gli attaccanti possono iniettare codice HTML in una pagina vulnerabile, non dovrebbero essere in grado di caricare script dannosi e altri tipi di risorse.
CSP è uno strumento versatile che consente agli sviluppatori di impostare una vasta gamma di politiche ed è supportato da tutti i browser moderni, in alcuni casi parzialmente. Tuttavia, in un recente studio in cui 1 miliardo di domini sono stati analizzati Google ha rilevato che 95% di dispiegati politiche CSP non funzionano contro XSS.
Una delle ragioni è che fuori 15 domini più comunemente whitelist dagli sviluppatori per il caricamento di script esterni come molti come 14 esporre i modelli che consentono agli aggressori di bypassare le protezioni CSP.
Il CSP Evaluator
Questo è come si arriva a CSP Evaluator - uno strumento utilizzato dagli ingegneri di Google per avere uno sguardo più in profondità l'effetto di impostare una politica. Il CSP Evaluator avvisa anche ogni volta che piccoli errori di configurazione potrebbero portare a problemi XSS. In aggiunta, Google consiglia agli sviluppatori di impostare un "nonce"- un imprevedibile, token a uso singolo che serve per abbinare un valore impostato nelle politiche CSP. Questo è fatto per migliorare la sicurezza web.
Il mitigatore CSP
L'altro strumento recentemente promosso da Google è CSP Mitigator. È un'estensione di Chrome per consentire agli sviluppatori di esaminare le app di compatibilità con CSP non basati su CSP.
L'estensione può essere abilitata per qualsiasi prefisso URL e raccoglierà dati su eventuali pattern di programmazione che devono essere rifattorizzati per supportare CSP. Ciò include l'identificazione di script che non hanno l'attributo nonce corretto, rilevamento di gestori di eventi in linea, javascript: URI, e molti altri modelli più sottili che potrebbero richiedere attenzione.