谷歌发布了两款新的工具,名为 CSP Evaluator和CSP Mitigator。这两款工具可以帮助安全研究人员识别出网站易受跨站点脚本(XSS)攻击的原因。
这两个工具都围绕了内容安全策略(CSP),CSP是所有主流浏览器都在使用的一种安全机制,尽管他们使用的方式不同。
CSP是一套规则,允许开发人员约定哪些脚本可以在页面内执行,所以当攻击者想要在web应用程序内注入HTML代码时,不能下载恶意脚本和其他类型的资源,因为CSP在浏览器层面严格禁止这类加载。
95%的网页都部署了不正确的CSP规则
谷歌在近期的一项研究中扫描了1亿域名,发现其中95%都部署了不恰当的CSP策略,导致攻击者可以绕过CSP的保护,加载脚本进行XSS攻击。
CSP Evaluator是一款独立的网站扫描器和chrome扩展,谷歌希望网站管理员能够使用CSP Evaluator测试自己网站的CSP策略是否存在问题,并提高网站的反XSS保护功能。
谷歌还建议网站管理员考虑基于随机数的CSP策略。随机数是描述随机的、一次性的、临时口令的术语,是一种不能绕过的、安全的部署CSP策略的方法。
两种chrome扩展都可用
为了帮助开发者在他们的网站和web应用程序中实现基于随机数的CSP策略,谷歌发布了第二个chrome扩展,名为CSP Mitigator。
谷歌表示第二个扩展能够识别没有正确随机数属性的脚本。另外,它还可以检测内联事件处理程序,“javascript”URI,以及其他问题细节。
谷歌表示这两个扩展能够为各种谷歌服务设置CSP策略,例如Google Cloud Console、Google Photos、Google MyAccount History、 Google Careers Search、Google Maps Timeline、Google's Cultural Institute。
谷歌通过内部漏洞赏金计划为XSS漏洞已支付120万美元,如今正积极主动地尝试解决困扰几乎所有网站的XSS问题。
长按二维码,关注“代码卫士”
您的专属代码体检专家