gejigeji 嘶吼专业版
XSS Auditor在阻止XSS***方面效率太低,而且需要花大力气来维护。为此,Google将删除Chrome内置的XSS保护。谷歌工程师计划删除一项Chrome安全功能,该功能一直与多年来提供的保护措施不相符。
这款名为XSS Auditor的功能是在2010年随着Google Chrome v4的发布而添加到Chrome中的。顾名思义,XSS Auditor负责扫描网站的源代码,寻找类似跨站点脚本(XSS)***的模式,这种***可能试图在用户的浏览器中运行恶意代码。
如果找到已知的XSS模式,Chrome可能会删除恶意代码,或者可能阻止网站完全加载,显示如下所示的错误。
多年来,XSS Auditor一直是浏览器保护领域的一个独特功能,并帮助Chrome从其他浏览器中脱颖而出,成为唯一一个内置XSS保护功能的浏览器。
自XSS Auditor推出以来,其他浏览器也通过附件扩展了该功,其中最着名的是NoScript扩展,它多年来一直具有XSS保护机制。
不过,XSS Auditor现在漏洞百出。在7月15日,谷歌工程师宣布了删除Chrome中的XSS Auditor的计划。
工程师列举了删除该功能的几个原因,其中最主要的原因就是过去几年发现XSS Auditor绕过方法太多了。虽然XSS Auditor在刚刚推出之后反响很好,但现在它却成了一个笑话,以至于有人开玩笑说,如果你还没有在XSS Auditor发现过一个绕过方法,那就不算是真正的安全研究人员。经过实际测试,在短短的两分钟内,ZDNet就发现十个绕过XSS Auditor的方法。
此外,修补XSS Auditor绕过漏洞的过程本身也已经给Chrome带来了很多***面。Chrome工程师托马斯•塞佩兹表示:
“XSS Auditor已经引入了许多跨站点信息泄漏,并且修复所有信息泄漏已经证明是困难的。”
另外,XSS Auditor还有大量误报的问题,它根据错误检测而阻止合法站点的访问情况最近经常出现。这就是为什么随着Chrome 74的发布,Google将默认的XSS Auditor模式从“阻止”切换为“过滤”,这意味着自4月以来,XSS Auditor一直没有执行阻止访问包含XSS代码的网站,而是删除了代码,试图减少其工程师所获得的误报报告的数量。
XSS Auditor将被可信类型API替换
去年10月,Google就已经开始着手弃用XSS Auditor组件。不过目前谷歌尚未指定哪些Chrome版本将禁用XSS Auditor,并最终从Chrome代码库中将其删除。
好消息是,谷歌已经找到了备用方案。今年2月,谷歌宣布其工程师开发了可信类型浏览器API,这是对基于DOM的XSS***的新防御策略,他们声称这将彻底杜绝DOM XSS(DOM型跨站脚本***) 。
与作为Chrome组件的XSS Auditor不同,新的可信类型API是一种Web标准,理论上也可以其他浏览器也可以使用该标准。
Impervahttps://www.imperva.com/blog/the-state-of-web-application-vulnerabilities-in-2018/在今年1月发布的一份报告显示,XSS漏洞是2014年、2015年、2016年和2017年最常见的网络***形式。它们是去年第二大最常见的基于web的***形式。
因为它们并不总是对访问站点的用户造成直接损害,公司和安全专家经常忽略XSS漏洞。然而,它们往往是复杂的漏洞利用的***起始点,可以促进更具破坏性的***。在许多情况下,彻底杜绝XSS***可以使用户免受更复杂的***,如果没有XSS提供的初始***点,这些***是不可能发生的。
除了Chrome之外,另外两个使用XSS过滤器的浏览器是Internet Explorer和Edge。Microsoft去年已经从Edge中删除了XSS过滤器,并引用了内容安全策略等现代标准,事实证明这可以更有效地在网站层面阻止XSS***。