Google 将删除 Chrome 内置的 XSS 保护功能
| 2019-07-17 09:27 评论: 1
谷歌工程师计划删除一项 Chrome 安全功能,该功能一直与多年来提供的保护措施不相符。
这款名为 XSS Auditor 的功能随着 Google Chrome v4 的发布于 2010 年添加到 Chrome 中。
顾名思义,XSS Auditor 扫描网站的源代码,查找看起来像是跨站点脚本(XSS)攻击的模式,这些模式可能会尝试在用户的浏览器中运行恶意代码。
如果找到已知的 XSS 模式,Chrome 可能会删除恶意代码,或者可能阻止网站完全加载,显示如下所示的错误。
多年来,XSS Auditor 一直是浏览器领域的一个独特功能,它帮助 Chrome 独立于其他浏览器,是唯一一款具有内置 XSS 保护功能的浏览器。
自推出以来,该功能已经在附加组件的帮助下在其他浏览器中得到了复制,其中最着名的是 NoScript 扩展,它已经具有多年的 XSS 保护机制。
XSS Auditor 现在已经充满了漏洞
7 月 15 日星期一,谷歌工程师宣布计划弃用并删除 Chrome 中的 XSS Auditor。
工程师列举了删除该功能的几个原因。提到的第一个是在过去几年中发现的众多 XSS Auditor 旁路。
虽然 XSS Auditor 发布后成为一个著名的功能,但现在它已经成为了一个亮点,bug 搜寻者开玩笑说,在找到一个 XSS Auditor 旁路之前,你并不是真正的安全研究人员。在短短的两分钟内,zdnet 发现十个XSS Auditor 只需谷歌搜索就可以绕过。
此外,修补所有 XSS Auditor 旁路已经给 Chrome 本身带来了漏洞。在宣布 XSS Auditor 弃用的谷歌小组讨论中,Chrome 工程师托马斯·塞佩兹表示,XSS Auditor 已经引入了许多“跨站点信息泄漏”,并且“修复所有信息泄漏已经证明是困难的”。
还有误报的问题;XSS Auditor 根据错误检测阻止访问合法站点的情况。
这就是为什么随着 Chrome 74 的发布,Google 将默认的 XSS Auditor 模式从“阻止”切换为“过滤”,这意味着自 4 月以来, XSS Auditor 一直没有阻止访问包含 XSS 代码的网站,而是删除了代码,试图减少其工程师所获得的误报报告的数量。
要被可信类型 API 替换
去年 10 月开始着手弃用 XSS Auditor 组件。谷歌尚未指定哪些 Chrome 版本将禁用 XSS Auditor,最终将从 Chrome 代码库中删除。
好消息是谷歌已经开始进行替换。今年 2 月,谷歌宣布其工程师开发了可信类型 API,这是对基于 DOM 的 XSS 攻击的新防御,他们声称这将 “消除 DOM XSS”。
与作为 Chrome 组件的 XSS Auditor 不同,新的可信类型 API 是一种Web标准,理论上也可以包含在其他浏览器中。
根据 1 月份发布的 Imperva 报告,XSS 漏洞是 2014 年、2015 年、2016 年和 2017 年最普遍的基于 Web 的攻击形式。去年,它们是第二种最常见的基于Web的攻击形式,但由于 SQL 注入攻击中的一个不常见的尖峰,它们在顶级位置上消失了。
公司和安全专家经常忽略 XSS 漏洞,因为它们并不总是对访问站点的用户造成直接损害。然而,它们往往是复杂的漏洞利用程序中的第一个踏脚石,可以促进更具破坏性的攻击。在许多情况下,消除XSS攻击可以使用户免受更复杂的攻击,如果没有 XSS 提供的初始立足点,这将是不可能的。
除了 Chrome 之外,另外两个使用 XSS 过滤器的浏览器是 Internet Explorer 和 Edge。Microsoft 去年从 Edge 中删除了 XSS 过滤器。操作系统和浏览器制造商引用了内容安全策略等现代标准,可以更有效地阻止网站级别的 XSS 攻击。
来源:ZDNet
更多资讯
滴滴:上半年协助警方调证 6500 次,破获 12 宗黑产案
7 月 16 日消息,滴滴数据显示,在出行安全问题上,今年上半年,已与多地警方合作,加强司机背审,配合警方完成调证 6500 多次,协助破获黑产案 12 宗,邀请警方录制行程播报。在行程前,滴滴进一步提升平台审核能力,加强司机背景审查,并在全国开展近百场司机安全培训。
来源: TechWeb
详情: http://www.dbsec.cn/zx/20190717-2.html
iOS13 和 iPadOS 爆安全漏洞:用户名密码或遭泄露
援引外媒报道,在 iOS 13 和 iPad OS 的最新测试版本中发现了一个安全漏洞,允许绕过安全机制访问设置应用中的用户名称和密码。 不过外媒也坦言该漏洞在实际场景中对于消费者的安全威胁并不大。
来源: 环球网
详情: http://www.dbsec.cn/zx/20190717-3.html
券商经纪人迷上黑客技术:冒充董事长,盗取 413 万条客户资料
一名 80 后券商经纪人,电脑技术高超,本可以有不错的前途,但是却一时误入歧途,用自己的技术从事违法的勾当,最终落了个锒铛入狱的下场。
来源: 每日经济新闻
详情: http://www.dbsec.cn/zx/20190717-4.html
70% 的保加利亚个人信息遭黑客窃取,并发给了当地媒体
一名神秘的黑客(或黑客组织)窃取了数百万保加利亚人的个人详细信息,并通过电子邮件将下载链接发送给当地新闻出版物。
来源: ZDNet
详情: http://www.dbsec.cn/zx/20190717-5.html
(信息来源于网络,安华金和搜集整理)