Googleは、XSSスクリプトの脆弱性からWebドメインを保護することを目的とした、開発者向けの2つの新しいツールをリリースしました。. XSS, またはクロスサイトスクリプティング, サイバーセキュリティの一般的な問題です.
XSSを利用した攻撃は、悪意のある攻撃者が正当なWebサイトに悪意のあるスクリプトを実装したときに発生します。. XSSの脆弱性は、次の場合に悪用されます。, 例えば, 悪意のあるJavaScriptが埋め込まれたWebサイトコンテンツを送信する. ウェブサイトは後でその返信にコードを含めます. このような攻撃は、マルバタイジングキャンペーンにつながる可能性があります, 水飲み場とドライブバイ攻撃.
XSSの欠陥がGoogleのアプリで優勢
過去に 2 年 グーグル 単独で研究者に授与しました $1.2 脆弱性報酬プログラムを介してアプリケーションのXSS欠陥を報告したことに対して100万.
幸いなことに、厳密なコンテキスト自動エスケープなどのWebテクノロジーは、開発者がアプリをXSS攻撃にさらすミスを回避するのに役立ちます。. テスト中に脆弱性のクラスを検出する自動スキャナーもあります. それにもかかわらず, アプリがより複雑な場合、時間通りにバグをキャッチすることはより困難になります.
コンテンツセキュリティポリシー (CSP) このようなバグが発生したときに正確に介入するように設計されたメカニズムです; 開発者は、攻撃者が脆弱なページにHTMLを挿入できる場合でも、実行を許可するスクリプトを制限することができます。, 悪意のあるスクリプトやその他の種類のリソースを読み込めないようにする必要があります.
CSPは、開発者が幅広いポリシーを設定できるようにする汎用性の高いツールであり、最新のすべてのブラウザーでサポートされています。, 場合によっては部分的に. でも, 最近の研究では 1 数十億のドメインが分析され、Googleは次のことを発見しました 95% 展開されたCSPポリシーの一部がXSSに対して機能しない.
根本的な理由の1つは、 15 開発者が外部スクリプトをロードするために最も一般的にホワイトリストに登録されているドメイン 14 攻撃者がCSP保護をバイパスできるようにするパターンを公開する.
CSPエバリュエーター
これが、Googleのエンジニアがポリシー設定の効果を詳しく調べるために採用しているツールであるCSPEvaluatorにたどり着く方法です。. CSP Evaluatorは、小さな設定ミスが最終的にXSSの問題につながる可能性がある場合にもアラートを出します. 加えて, Googleは、開発者に「ノンス」を設定するようにアドバイスしています- 予測不可能, CSPポリシーで設定された値と一致するように機能する単一使用トークン. これは、Webセキュリティを向上させるために行われます.
CSPミティゲーター
Googleが最近推進した他のツールはCSPMitigatorです. これは、開発者がナンスベースのCSPとの互換性アプリを確認するためのChrome拡張機能です。.
拡張機能は任意のURLプレフィックスに対して有効にでき、CSPをサポートするためにリファクタリングする必要があるプログラミングパターンに関するデータを収集します. これには、正しいナンス属性を持たないスクリプトの識別が含まれます, インラインイベントハンドラーの検出, javascript: URI, そして注意を必要とするかもしれない他のいくつかのより微妙なパターン.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: