Google 將刪除 Chrome 內建的 XSS 保護功能

安华金和發表於2019-07-17

谷歌工程師計劃刪除一項 Chrome 安全功能,該功能一直與多年來提供的保護措施不相符。

這款名為 XSS Auditor 的功能隨著 Google Chrome v4 的釋出於 2010 年新增到 Chrome 中。

顧名思義,XSS Auditor 掃描網站的原始碼,查詢看起來像是跨站點指令碼(XSS)攻擊的模式,這些模式可能會嘗試在使用者的瀏覽器中執行惡意程式碼。

如果找到已知的 XSS 模式,Chrome 可能會刪除惡意程式碼,或者可能阻止網站完全載入,顯示如下所示的錯誤。

多年來,XSS Auditor 一直是瀏覽器領域的一個獨特功能,它幫助 Chrome 獨立於其他瀏覽器,是唯一一款具有內建 XSS 保護功能的瀏覽器。

自推出以來,該功能已經在附加元件的幫助下在其他瀏覽器中得到了複製,其中最著名的是 NoScript 擴充套件,它已經具有多年的 XSS 保護機制。

XSS Auditor 現在已經充滿了漏洞

7 月 15 日星期一,谷歌工程師宣佈計劃棄用並刪除 Chrome 中的 XSS Auditor。

工程師列舉了刪除該功能的幾個原因。提到的第一個是在過去幾年中發現的眾多 XSS Auditor 旁路。

雖然 XSS Auditor 釋出後成為一個著名的功能,但現在它已經成為了一個亮點,bug 搜尋者開玩笑說,在找到一個 XSS Auditor 旁路之前,你並不是真正的安全研究人員。在短短的兩分鐘內,zdnet 發現十個XSS Auditor 只需谷歌搜尋就可以繞過。

此外,修補所有 XSS Auditor 旁路已經給 Chrome 本身帶來了漏洞。在宣佈 XSS Auditor 棄用的谷歌小組討論中,Chrome 工程師托馬斯·塞佩茲表示,XSS Auditor 已經引入了許多“跨站點資訊洩漏”,並且“修復所有資訊洩漏已經證明是困難的”。

還有誤報的問題;XSS Auditor 根據錯誤檢測阻止訪問合法站點的情況。

這就是為什麼隨著 Chrome 74 的釋出,Google 將預設的 XSS Auditor 模式從“阻止”切換為“過濾”,這意味著自 4 月以來, XSS Auditor 一直沒有阻止訪問包含 XSS 程式碼的網站,而是刪除了程式碼,試圖減少其工程師所獲得的誤報報告的數量。

要被可信型別 API 替換

去年 10 月開始著手棄用 XSS Auditor 元件。谷歌尚未指定哪些 Chrome 版本將禁用 XSS Auditor,最終將從 Chrome 程式碼庫中刪除。

好訊息是谷歌已經開始進行替換。今年 2 月,谷歌宣佈其工程師開發了可信型別 API,這是對基於 DOM 的 XSS 攻擊的新防禦,他們聲稱這將 “消除 DOM XSS”。

與作為 Chrome 元件的 XSS Auditor 不同,新的可信型別 API 是一種Web標準,理論上也可以包含在其他瀏覽器中。

根據 1 月份釋出的 Imperva 報告,XSS 漏洞是 2014 年、2015 年、2016 年和 2017 年最普遍的基於 Web 的攻擊形式。去年,它們是第二種最常見的基於Web的攻擊形式,但由於 SQL 注入攻擊中的一個不常見的尖峰,它們在頂級位置上消失了。

公司和安全專家經常忽略 XSS 漏洞,因為它們並不總是對訪問站點的使用者造成直接損害。然而,它們往往是複雜的漏洞利用程式中的第一個踏腳石,可以促進更具破壞性的攻擊。在許多情況下,消除XSS攻擊可以使使用者免受更復雜的攻擊,如果沒有 XSS 提供的初始立足點,這將是不可能的。

除了 Chrome 之外,另外兩個使用 XSS 過濾器的瀏覽器是 Internet Explorer 和 Edge。Microsoft 去年從 Edge 中刪除了 XSS 過濾器。作業系統和瀏覽器製造商引用了內容安全策略等現代標準,可以更有效地阻止網站級別的 XSS 攻擊。

來源:ZDNet

更多資訊

滴滴:上半年協助警方調證 6500 次,破獲 12 宗黑產案

7 月 16 日訊息,滴滴資料顯示,在出行安全問題上,今年上半年,已與多地警方合作,加強司機背審,配合警方完成調證 6500 多次,協助破獲黑產案 12 宗,邀請警方錄製行程播報。在行程前,滴滴進一步提升平臺稽核能力,加強司機背景審查,並在全國開展近百場司機安全培訓。

來源: TechWeb
詳情: http://www.dbsec.cn/zx/20190717-2.html 

iOS13 和 iPadOS 爆安全漏洞:使用者名稱密碼或遭洩露

援引外媒報導,在 iOS 13 和 iPad OS 的最新測試版本中發現了一個安全漏洞,允許繞過安全機制訪問設定應用中的使用者名稱稱和密碼。 不過外媒也坦言該漏洞在實際場景中對於消費者的安全威脅並不大。

來源: 環球網
詳情: http://www.dbsec.cn/zx/20190717-3.html 

券商經紀人迷上黑客技術:冒充董事長,盜取 413 萬條客戶資料

一名 80 後券商經紀人,電腦技術高超,本可以有不錯的前途,但是卻一時誤入歧途,用自己的技術從事違法的勾當,最終落了個鋃鐺入獄的下場。

來源: 每日經濟新聞
詳情: http://www.dbsec.cn/zx/20190717-4.html 

70% 的保加利亞個人資訊遭黑客竊取,併發給了當地媒體

一名神祕的黑客(或黑客組織)竊取了數百萬保加利亞人的個人詳細資訊,並通過電子郵件將下載連結傳送給當地新聞出版物。

來源: ZDNet
詳情: http://www.dbsec.cn/zx/20190717-5.html 

(資訊來源於網路,安華金和蒐集整理)

Google 將刪除 Chrome 內建的 XSS 保護功能

訂閱“Linux 中國”官方小程式來檢視

相關文章