#没有过滤器
更新(26/7)在一个博客文章昨天,微软确认它正在删除XSS过滤器中的边缘。该公司表示:“我们将在今天的[Windows 10 Insider Preview]构建中退休Microsoft Edge中的XSS过滤器。”“由于现代标准,我们的客户仍然受到保护内容安全策略,这提供了更强大,更有性能和安全的机制,可防止在现代浏览器之间具有高兼容性。”
Microsoft为其Web浏览器的跨站点脚本防御的XSS Filter已从Edge作为默认安全功能消失了。beplay体育能用吗
这一发现是在本周早些时候由Portswigger研究人员Gareth Heyes进行的,beplay官网可以赌引起了围绕XSS过滤器是否破坏或Microsoft是否可以永久禁用它的问题。
默认情况下关闭
这HTTP X-XSS保护响应标头检测到页面时停止加载反映的跨站点脚本攻击。在Microsoft浏览器中,有三个选项:
X-XSS保护:0
X-XSS保护:1
X-XSS保护:1;模式=块
这 '0’标题禁用XSS过滤,而”1’启用XSS过滤(通常在浏览器中默认),如果涉嫌跨站点脚本攻击,浏览器对页面进行了清理。
’1;模式=块’启用XSS过滤,但不用对页面进行消毒,浏览器将完全阻止页面渲染。
Heyes解释说:“ XSS过滤器应该打开。”“但是,默认情况下它已经熄灭了,即使您尝试将其打开X-XSS保护:1它仍然离开。
“现在实际打开它的唯一方法是何时拥有标题X-XSS保护:1;模式=块。”
Heyes补充说:“我确认Internet Explorer未受影响,并且默认情况下仍继续检测XSS攻击。”
反XSS
XSS Filter于2009年在Internet Explorer 8中首次亮相,Microsoft将该功能视为一种针对反射的跨站点脚本攻击的新型防御。
在发布之前,前Microsoft安全软件工程师David Ross解释了过滤器如何作为IE组件运行,并可以对流过浏览器的所有请求和响应可见。
罗斯说:“当过滤器在跨站点请求中发现可能的XS时,如果在服务器的响应中重播,它会标识并中立攻击。”“没有向用户提出他们无法回答的问题 - 即仅阻止恶意脚本执行。”
尽管该过滤器并非设计防止所有类型的XS攻击,但它旨在通过使一些常见的攻击场景不可行来提高浏览器安全性。
在浏览器发布大约三年前,XSS过滤器被移植到Internet Explorer的继任者Microsoft Edge。
边缘外壳
自XSS过滤器首次推出以来的九年中,安全组件并不陌生,因为研究人员成功地将Microsoft的前线防御工具推向了自身。
实际上,XSS过滤器中漏洞的报告几乎与该功能本身一样古老。
在2010年Black Hat Europe上,研究人员Eduardo Vela Nava和David Lindsay概述了攻击者如何滥用它的发射网站上的跨场脚本攻击beplay体育能用吗否则这将不受这种威胁的影响。
最近,日本安全专家Masato Kinugawa发表了一项概述的主要研究许多跨场脚本攻击该利用XSS过滤器。
他解释说:“为了拒绝XSS攻击,XSS过滤器查看了类似于XSS攻击的字符串的请求,将其与页面进行比较并找到其外观,并在字符串中出现在页面中,将其重写。字符串的重写过程 - 这是安全完成的吗?答案是不。
“我找到了一种利用XSS过滤的方法,不要保护网页,而是在完全理智并且没有XSS漏洞的网页上创建XSS漏洞。”beplay体育能用吗
就在今年,小刘在边缘的XSS过滤器中利用另一个漏洞来绕过内容安全策略(CSP)当从元元素提供时。
“这很具有讽刺意味,因为XSS过滤器和CSP均设计旨在保护用户免受XSS攻击,但是这种漏洞使攻击者滥用一个XSS保护机制以绕过另一个XSS保护机制,” LIU说过。
误报
2016年3月,总部位于香港的安全专家文件描述符将重点放在微软的反XSS组件上。
引用了稻草民意调查在Twitter上进行 - 其中X-XSS保护:0被选为最不喜欢的方法 - 研究人员讨论了该功能的“安全含义”,以及为什么默认情况下应该觉得它应该摆脱困境。
“第一个问题是它扩大了攻击表面,”他在博客文章。“通过滥用误报,攻击者可以在页面上有选择地禁用无辜脚本。”
当然,反XSS过滤器的潜在陷阱并没有消除微软竞争对手开发商的注意。
XSS审计师是Chrome的本地防御跨场脚本的防御,并非没有问题 -误报发现一个旁路这将使袭击者能够对用户发动进一步的攻击。
四个月前,Mozilla开发商Frederik Braun再次确认该组织不会为Firefox寻求反XSS功能。
“已经进行了许多讨论……我们得出的结论是,Firefox目前不值得提供内置功能,” Braun陈述。
技术文档莫兹拉(Mozilla)指出:“这些保护在现代浏览器中基本上是不必要的内容 - 安全政策禁用内联JavaScript”。
默认情况下,通过将其XSS过滤器关闭,这是否标记了Microsoft的方向变化 - 还是阻止功能工作的错误?就目前而言,这是一个猜测的游戏。
根据许多置评请求,微软发言人说:“我们没有什么可分享的。”
