科技巨头针对客户端脚本攻击
Google,Mozilla和Security Firm Cure53的工程师聚集在一起,开发了一个应用程序编程界面(API),该界面提供了用于HTML消毒的系统解决方案。
API将集成到Mozilla Firefox和Google Chrome浏览器的未来版本中,将使Web开发人员能够消毒HTML输入字符串并防止beplay体育能用吗跨站脚本(XSS)攻击无需第三方库。
防止XSS攻击
beplay体育能用吗通常需要Web应用程序来处理浏览器中的动态HTML内容,例如在渲染用户生成的内容或处理模板时。
客户端HTML处理通常会导致安全漏洞,恶意演员使用它们来XSS攻击并窃取用户信息或代表用户发送Web命令。beplay体育能用吗
Mozilla的安全工程师Frederbeplay体育能用吗ik Braun告诉他说:“从历史上看,网络一直存在XSS问题。”每日swbeplay2018官网ig。
“网络具有beplay体育能用吗新的浏览器功能的增加APIS并因此可以添加到攻击者的工具箱中。”
2012年,布劳恩(Braun)成为另一个Google/Mozilla努力的一部分内容安全政策((CSP),一组HTTP标头指令,该指令通过对网页处理不同类型的内容的方式进行限制来帮助减轻XSS攻击。beplay体育能用吗但是CSP尚未获得创作者希望的吸引力。
布劳恩说:“我们认为,像CSP这样的复杂系统通常非常有用且值得采用,但也看到它主要由大公司支持的顶级网站使用。”beplay体育能用吗
消毒图书馆
许多开发人员依靠开源JavaScript库(例如Dompurify)来防止XSS攻击。Dompurify将HTML字符串作为输入,并通过逃避和删除潜在的脆弱部件来对其进行消毒。
Dompurify已成为前端非常受欢迎的图书馆JavaScript开发人员。但是,使图书馆与Web标准的更改和不同版本的浏览器提出挑战。beplay体育能用吗
有关的通过MATHML名称空间混乱实现的dompurify突变XSS旁路
布劳恩说:“解析HTML的问题是它是[A]的生活水平,因此是一个快速移动的目标。”“为了确保HTML消毒剂在新输入上正常工作,需要跟上此标准。如果这样做的可能是灾难性的,并导致消毒剂绕过。”
Mozilla工程师补充说,HTML消毒剂还必须解决匹配每个浏览器的确切解析行为的挑战。
新的HTML消毒剂API是由Google,Mozilla和更广泛的安全社区开发的
从各个角度攻击
MichałBentkowski,一位具有广泛狩猎XSS错误经验的安全研究人员告诉每日swbeplay2018官网ig基于JavaScript的消毒剂也带来了其他障碍。
“它们增加了捆绑尺寸。我遇到了对包括消毒剂的持怀疑态度的开发人员,因为它们使JS代码更大。” Bentkowski说。
“消毒剂还需要处理JS/DOM的某些奇数。例如,他们需要对Dom Clobbering攻击因为它们很容易绕开,否则。”
“ posix”另一位网络安全研究人beplay体育能用吗员对消毒库的分散状态提出了担忧。
他告诉每日swbeplay2018官网ig。“如果没有持续维护,即使是安全的图书馆也可能变得脆弱。”
本地HTML消毒
这HTML消毒剂API将XSS缓解功能直接进入浏览器。开发人员可以实例化和使用API消毒剂不需要导入外部库。
Braun说:“这将使正确解析的责任转变为已经经常获得安全性更新并已证明成功地进行及时进行的软件的责任。”
Bentkowski说,浏览器已经具有用于剪贴板数据的烘焙式消毒器,因此,重复使用代码以扩展本机清理功能将是完全合理的。
推荐的Google和Mozilla为“后XSS世界”奠定了基础
Bentkowski说:“总的来说,我认为这是直接在浏览器中实施消毒剂的正确呼吁。”
“给需要使用消毒剂的开发人员的信息将很简单:‘只需使用内置的消毒剂;您无需包括任何外部图书馆!’这也应该提高人们对平均开发人员的消毒需求的认识。”
Posix补充说:“我们不必花时间思考要使用哪个库。由于[HTML消毒剂API]取决于浏览器,因此我们可以期望它比以前更加仔细地进行管理,例如立即对浏览器功能的变化做出反应”。但是研究人员还警告不要对单个API过分信任。
测试API
根据它的规范文档,HTML消毒剂API不会防止突变的XSS攻击和利用服务器端漏洞的攻击。但是,使用额外的配置,它可以防止基于脚本小工具的DOM Clobbering和XSS攻击。
API的实验实现已集成到Firefox Nightly和Chrome Canary(浏览器的测试版本)中。API的测试页面也是在线可用。
Braun说,API已经成熟,可以针对任何想严格分析和测试其安全属性的人进行测试。他补充说,但是API方法和内部行为仍然不稳定,因此开发人员不应针对它编写应用程序。
Braun说:“该规范正在孵化,因此在W3C的Web平台孵化器社区集团(WICG)中,但我个人希望它将在beplay体育能用吗今年结束之前被W3C工作组采用。”
测试了API的Bentkowski说,这有一些问题,但他认为这些是“只是磨牙麻烦”,很快就会解决。
他补充说:“我希望内置的消毒剂将减少与Wysiwyg编辑或Markdown处理的应用程序中的跨站点脚本问题的数量,因为这些似乎是新标准的主要受益者。”
