Google κυκλοφόρησε δύο νέα εργαλεία που ονομάζονται CSP Evaluator και CSP Mitigator και βοηθούν τους ερευνητές ασφάλειας να εντοπίσουν αδυναμίες που επιτρέπουν επιθέσεις XSS.
Και τα δύο εργαλεία περιστρέφονται σαν ένας μηχανισμός ασφαλείας που εφαρμόζεται από όλα τα μεγάλα προγράμματα περιήγησης, αν και με κάπως διαφορετικό τρόπο.
Τι είναι CSP ή Content Security Policy
Το CSP είναι ένα σύνολο κανόνων που επιτρέπουν στους προγραμματιστές να περιορίσουν τα scripts που έχουν τη δυνατότητα να τρέξουν μέσα σε μια σελίδα, έτσι ώστε όταν οι εισβολείς καταφέρουν να ανακαλύψουν κάποιο τρόπο να περάσουν κώδικα HTML μέσα σε μια ευάλωτη εφαρμογή, να μην είναι σε θέση να φορτώσουν κακόβουλα scripts, επειδή η πολιτική CSP απαγορεύει αυστηρά και αποκλείει αυτά τα ωφέλιμα φορτία σε επίπεδο προγράμματος περιήγησης.
Παρά τα πλεονεκτήματα αυτού του μηχανισμού ασφαλείας, η Google αναφέρει ότι το 95 τοις εκατό δισεκατομμυρίων domains που σαρώθηκαν κατά τη διάρκεια μιας πρόσφατης μελέτης διαθέτουν ακατάλληλες πολιτικές CSP και επιτρέπουν στους επιτιθέμενους να παρακάμψουν την προστασία CSP και να ξεκινήσουν XSS (cross-site scripting) επιθέσεις.
Με την κυκλοφορία των CSP Evaluator και CSP Mitigator, με τη μορφή μιας αυτόνομης ιστοσελίδας σάρωσης και επεκτάσεων του Chrome, η Goοgle ελπίζει ότι οι webmasters θα είναι σε θέση να δοκιμάζουν τις πολιτικές CSP που χρησιμοποιούν και να βελτιώσουν τις δυνατότητες προστασίας της ιστοσελίδα τους.
Δοκιμάστε τα plugins (Chrome)
