Google heeft zojuist twee nieuwe gereedschappen voor ontwikkelaars met als doel om web domeinen XSS scripting kwetsbaarheden te beschermen. XSS, of cross-site scripting, is een veel voorkomend probleem in cybersecurity.
Een XSS-aangedreven aanval vindt plaats wanneer kwaadaardige acteurs voeren kwaadaardige scripts om legitieme websites. Een XSS kwetsbaarheid wordt misbruikt wanneer u, bijvoorbeeld, stuur dan een website-inhoud die ingesloten kwaadaardige JavaScript omvat. De website zal later ook de code in haar antwoord. Dergelijke aanvallen kunnen leiden tot malvertising campagnes, drinkplaats en drive-by aanvallen.
XSS Gebreken overhand in Google Apps
Net in het verleden 2 jaar Google alleen al gehonoreerde onderzoekers meer dan $1.2 miljoen voor het melden van XSS gebreken in hun applicaties via het Vulnerability Reward Program.
Het goede nieuws is dat web technologieën zoals de strikte contextuele auto-ontsnappen ontwikkelaars te helpen bij het ontwijken van fouten bloot apps om XSS-aanvallen. Er zijn ook geautomatiseerde scanners die klassen van kwetsbaarheden tijdens het testen op te sporen. Niettemin, wanneer een app is complexer de bug te vangen op tijd wordt het moeilijker.
Content Security Policy (CSP) is een mechanisme in te stappen precies wanneer dergelijke bugs gebeuren; het biedt ontwikkelaars de mogelijkheid om te bepalen welke scripts zijn toegestaan om, zodat uitvoeren zelfs als aanvallers HTML kan injecteren in een kwetsbare pagina, moeten ze niet in staat zijn om kwaadaardige scripts en andere soorten middelen te laden.
CSP is een veelzijdige tool waarmee ontwikkelaars een breed scala van beleidsmaatregelen te stellen en deze wordt ondersteund door alle moderne browsers, in sommige gevallen deels. Echter, in een recente studie waarin 1 miljard domeinen werden geanalyseerd Google gevonden dat 95% van uitgezonden CSP beleid werken niet tegen XSS.
Één van de onderliggende redenen die uit de 15 domeinen het vaakst op de witte lijst door ontwikkelaars voor het laden van externe scripts zo veel als 14 bloot patronen waarmee aanvallers CSP beveiligingen te omzeilen.
De CSP Evaluator
Dit is hoe we bij CSP Evaluator - een instrument in dienst van Google ingenieurs om een diepere kijk naar het effect van het instellen van een beleid. De CSP Evaluator waarschuwt ook wanneer kleine misconfiguraties uiteindelijk zou kunnen leiden tot XSS problemen. Bovendien, Google adviseert ontwikkelaars om een “nonce” set- een onvoorspelbare, single-gebruikte token die dient om een waarde in te stellen in CSP beleid overeenkomen. Dit wordt gedaan om web veiligheid te verbeteren.
De CSP Mitigator
De ander gereedschap Google heeft onlangs gepromoveerd is de CSP Mitigator. Het is een Chrome-extensie voor ontwikkelaars om te beoordelen compatibiliteit apps met-nonce gebaseerde CSP.
De uitbreiding kan worden ingeschakeld voor een URL-voorvoegsel en zal gegevens over eventuele programmering patronen die moeten worden herwerkt tot CSP ondersteunen verzamelen. Dit geldt ook voor het identificeren van scripts die niet de juiste nonce attribuut hebben, detecteren inline event handlers, javascript: URI's, en een aantal andere, meer subtiele patronen die nodig zou kunnen hebben aandacht.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: