研究人员演示了如何通过默认过滤到用户安全引入更多问题
Chrome的XSS审核员可以被滥用以允许渗透信息,这要归功于Google决定恢复使用“过滤器”模式为默认情况。
该浏览器的反交叉脚本脚本技术先前阻止了显示恶意代码的页面,但是在最近的更新中(v74.0.3729.108 - 最新版本)更改了默认设置以滤除这些页面。
这意味着显示页面,但是现在对危险代码进行了过滤,以防止某些元素执行。
Google的决定恢复到默认过滤的要遵循新的研究的发布,该研究证明了攻击者如何滥用块模式,以通过所谓的信息剥离信息跨站点泄漏(XS-Leak)漏洞。
但是,随后,一位安全研究人员显示了如何滥用过滤器功能,因为它的性质是在页面上选择性禁用脚本。
安全爱好者和虫子猎人Terjanq发现他能够利用XSS审核员通过绕过DOM验证器。
在最近的捕捉旗帜挑战中,研究人员使用了默认情况下启用过滤模式的Google Chrome的不稳定版本,在没有一个网站上beplay体育能用吗X-XSS保护标题。
他无法过滤掉domvalidator.js脚本是由同一域加载的,但他可以过滤sha512.js脚本。
这domvalidator.js使用=cryptojs.sha512()=功能 - 意味着通过导致XSS审核员过滤sha512.jsJavaScript文件,它删除了该功能,导致对功能失败的调用,从而绕过保护机制。
他有效地欺骗了Chrome,认为非恶意脚本试图执行XSS,允许他绕过实施安全措施的代码,并执行他插入引起XSS的脚本。
他告诉他说:“说我在这里发现一些东西对许多研究人员来说是不公平的。”每日swbeplay2018官网ig。
“我简要描述的问题已知并研究了几年。该问题的核心概念是从攻击者的角度删除任何不需要的脚本,以此作为一种在网站上引入XSS漏洞的方式,这些网站的保护依赖于这些脚本。beplay体育能用吗
“在2016年,Google Chrome将默认的XSS审核器模式从过滤器切换到块,以防止当时所描述的攻击。可以找到这些问题的良好集合这里。
“在过去的几年中,作为默认模式似乎正在履行其角色,确实是弱势网站的伟大保护者。beplay体育能用吗出乎意料的是,最近的研究证明了它是错误的,并将其暴露于新的向量,也称为跨站点泄漏(XS-Leaks)。
“但是现在,通过Google恢复了旧的修复,看起来许多人已经忘记了过滤模式的危险性,因此我决定简要刷新多年来收集的知识。”
Terjanq指出,Google恢复到过滤模式的决定令人惊讶,鉴于影响更加危险。
他补充说:“ XSS审核员为易受伤害的网站提供了另一层安全性beplay体育能用吗跨站脚本不幸的是,它还最终引入了几次泄漏,否则不会发生。
“由于审计师的性质,这些确实很难解决。正如我在文章中所证明的那样,即使在最近的更改之后,Chrome团队也从块到滤波器模式进行了固定并重新引入已知的攻击向量。
“所以,是的,我确实认为审核员应遵循与其他浏览器相同的步骤,并默认情况下被禁用。如果任何网站都beplay体育能用吗想依靠浏览器的保护,他们应该自己要求,但要充分意识到审计师带来的含义。
“此外,禁用XSS审计仪似乎是Facebook,以及最近的Google(在其网络服务中)选择遵循的道路。”beplay体育能用吗
每日swbeplay2018官网ig已与Google联系以进行评论。
