Google釋出兩項CSP安全工具以防範XSS攻擊

jis2577

為協助開發人員制定有效的CSP內容安全政策，防範XSS跨站指令碼攻擊，Google釋出CSP Evaluator及CSP Mitigator兩項工具，其中CSP Evaluator可協助偵測內容政策的成效，而CSP Mitigator並檢驗應用程式與CSP的相容性。

兩項CSP安全工具之一的CSP Mitigator為Chrome擴充程式。

Google於本周釋出了CSP Evaluator及CSP Mitigator兩項工具以協助網站管理人員防禦跨站指令碼（Cross-site Scripting, XSS）攻擊。
跨站指令碼一直是這十幾年來最主要的網頁安全漏洞之一，駭客可利用相關漏洞在合法網站或服務上注入惡意程式，並帶來惡意廣告、水坑攻擊或偷渡式下載攻擊等，光是這兩年Google就付出超過120萬美元給找出Google各種應用程式中XSS安全漏洞的研究人員。
而最常用來防範XSS攻擊的則是內容安全政策（Content Security Policy，CSP），它允許開發人員彈性設定各種政策，限制可執行的程式，例如即使駭客在網頁上注入了惡意的HTML，也無法載入惡意程式，現階段市場上主要的瀏覽器都支援CSP。
然而，Google指出，CSP的彈性造成了更大的問題，因為開發人員所制定的安全政策也許表面上看來是可行的，但實際上並無真正的安全效益。Google近日分析了逾10億個網域，發現部署CSP的網域中，有95%的政策是無效的，根本無法抵擋XSS攻擊，其中一個原因是在15個開發人員最常用的白名單網域名，有14個允許駭客繞過CSP保護。
因此，Google釋出了CSP Evaluator與CSP Mitigator來強化CSP。其中，CSP Evaluator可視覺化政策設定的成效，並偵測是否有細微的配置錯誤，而CSP Mitigator則為一Chrome擴充程式，可協助開發人員來檢驗應用程式與以隨機亂數為基礎（nonce-based）的CSP相容性。
此外，Google也在本周將CSP納入修補程式獎勵計畫（Patch Reward Program）中，只要主動協助受歡迎的開放源碼網頁框架相容於基於隨機亂數的CSP就有機會贏得獎勵，此一計畫的獎勵金額自500美元到1萬美元不等。

myntpcb

说明了网络的安全性还有待提高。

shero