Google CSP Evaluator και CSP Mitigator anti XSS plugins

Google κυκλοφόρησε δύο νέα εργαλεία που ονομάζονται CSP Evaluator και CSP Mitigator και βοηθούν τους ερευνητές ασφάλειας να εντοπίσουν αδυναμίες που επιτρέπουν επιθέσεις XSS.

Και τα δύο εργαλεία περιστρέφονται σαν ένας μηχανισμός ασφαλείας που εφαρμόζεται από όλα τα μεγάλα προγράμματα περιήγησης, αν και με κάπως διαφορετικό τρόπο.

Τι είναι CSP ή Content Security Policy

Το CSP είναι ένα σύνολο κανόνων που επιτρέπουν στους προγραμματιστές να περιορίσουν τα scripts που έχουν τη δυνατότητα να τρέξουν μέσα σε μια σελίδα, έτσι ώστε όταν οι εισβολείς καταφέρουν να ανακαλύψουν κάποιο τρόπο να περάσουν κώδικα HTML μέσα σε μια ευάλωτη εφαρμογή, να μην είναι σε θέση να φορτώσουν κακόβουλα scripts, επειδή η πολιτική CSP απαγορεύει αυστηρά και αποκλείει αυτά τα ωφέλιμα φορτία σε επίπεδο προγράμματος περιήγησης.bad-code Google

Παρά τα πλεονεκτήματα αυτού του μηχανισμού ασφαλείας, η Google αναφέρει ότι το 95 τοις εκατό δισεκατομμυρίων domains που σαρώθηκαν κατά τη διάρκεια μιας πρόσφατης μελέτης διαθέτουν ακατάλληλες πολιτικές CSP και επιτρέπουν στους επιτιθέμενους να παρακάμψουν την προστασία CSP και να ξεκινήσουν XSS (cross-site scripting) επιθέσεις.

Με την κυκλοφορία των CSP Evaluator και CSP Mitigator, με τη μορφή μιας αυτόνομης ιστοσελίδας σάρωσης και επεκτάσεων του Chrome, η Goοgle ελπίζει ότι οι webmasters θα είναι σε θέση να δοκιμάζουν τις πολιτικές CSP που χρησιμοποιούν και να βελτιώσουν τις δυνατότητες προστασίας της ιστοσελίδα τους.

Δοκιμάστε τα plugins (Chrome)

CSP Evaluator

CSP Mitigator

iGuRu.gr The Best Technology Site in Greecegns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.109 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).