ارائه ۲ افزونه از سوی گوگل برای کشف حملات XSS

   
نام نویسنده:
|
دسته بندی:
|
شرکت گوگل دو ابزار جدید امنیتی را با نام‌های CSP Evaluator و CSP Mitigator ارائه کرده است. به گفته این شرکت این ابزارها به محققان امنیتی کمک می‌کنند تا ضعف‌هایی را که اغلب برای راه‌اندازی حملات XSS مورد بهره‌برداری قرار می‌گیرند شناسایی کنند.

هر دوی این ابزارها در ارتباط با CSP، سیاست امنیتی محتوا۱، هستند. CSP یک ساز و کار امنیتی است که توسط اغلب مرورگرها پیاده‌سازی شده است.

CSP مجموعه‌ای از قوانین است که به توسعه‌دهندگان اجازه می‌دهد اسکریپت‌هایی را که در یک صفحه اجرا می‌شوند محدود کنند؛ بدین ترتیب وقتی‌که مهاجمان راهی را برای تزریق کد HTML به یک برنامه می‌یابند، نمی‌توانند اسکریپت‌های مخرب را بارگیری کنند، چراکه CSP‌ در سطح مرورگر این بار داده را مسدود می‌کند.

۹۵ درصد وبگاه‌ها قوانین نادرست CSP را پیاده‌سازی می‌کنند!

علیرغم مزایای این ساز و کارهای امنیتی، گوگل می‌گوید ۹۵ درصد از یک میلیارد دامنه‌ای که بررسی کرده‌ است، سیاست‌های ناصحیح CSP را پیاده‌سازی کرده‌اند به‌طوری‌که به مهاجمان اجازه داده می‌شود از راهکارهای محافظتی CSP عبور کرده و اسکریپت‌های لازم را برای راه‌اندازی حملات XSS بارگیری کنند.

با راه‌اندازی CSP Evaluator، در قالب پویشگر وبگاه‌ها و افزونه کروم، گوگل امیدوار است مدیران وبگاه‌ها بتوانند سیاست‌های CSP‌ خود را آزمایش کرده و ویژگی‌های محافظتی خود را علیه حملات XSS تقویت کنند.

گوگل هم‌چنین به مدیران وبگاه‌ها توصیه می‌کنند سیاست CSP مبتنی بر نانس را در نظر بگیرند. نانس که عبارتی برای توصیف توکن‌های موقتی، یک‌بارمصرف و تصادفی است، روشی امن برای پیاده‌سازی سیاست‌های CSP محسوب می‌شود که امکان عبور از آن‌ها وجود ندارد.

در راستای کمک به توسعه‌دهندگان برای پیاده‌سازی سیاست‌های CSP بر روی وبگاه‌ها و در برنامه‌های تحت وب، گوگل افزونهدیگری را نیز با عنوان CSP Mitigator ارائه کرده است.گوگل می‌گوید این افزونه قادر است اسکریپت‌هایی را که ویژگی نانس صحیح ندارند شناسایی کند.

به گفته گوگل هر دوی این افزونه‌ها در سیاست‌های CSP  خدمات مختلف گوگل، ازجمله GoogleConsole ،Google Photos ،Google MyAccount History ،Google Careers Search ،Google Map Timeline و Google’s Cultural Institute استفاده شده‌اند.

پس از این‌که گوگل در برنامه کشف اشکال خود بالغ بر ۲/۱ میلیارد دلار را برای اشکالات XSS‌ پرداخت، حالا همه تلاش خود را می‌کند تا مشکل حملات XSS را که امروزه تقریباً همه وبگاه‌ها را درگیر خود کرده است، به‌طور جدی‌تری حل کند.

 

منبع: asis

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید