谷歌准备放弃存在 9 年的 XSS 检测工具

更新日期: 2019-07-24阅读: 2.4k标签: xss

谷歌正在移除其 Chrome 网络浏览器中已经存在 9 年的一个功能,该功能可以帮助避免一些潜在的在线攻击。不过,别担心——优化的保护方案也即将出台。


XSS Auditor

XSS Auditor 是 2010 年推出的一个内置 Chrome 函数,用于检测跨站点脚本 (XSS) 漏洞。在 XSS 攻击中,恶意行为者将自己的代码注入合法网站。他们可以通过在合法 URL 中添加恶意代码,或者将内容发布到存储和显示所发布内容的站点 (持久性 XSS) 来实现这一点。

当有人查看攻击者注入的代码时,它会在浏览器中执行一条命令,这条命令可以做任何事情,从窃取受害者的 cookie 到试图用病毒感染他们。

网站应该通过对用户提交的数据进行检查来 防止此类攻击 ,但很多网站并没有这么做。

XSS Auditor 尝试在浏览器解析 html 时检测 XSS 漏洞。它使用块列表来识别请求参数中的可疑字符或 HTML 标记,并将它们与内容进行匹配,以发现将代码注入页面的攻击者。

有些开发人员的问题是,它不能捕获站点中的所有 XSS 漏洞。该特性没有发现的 XSS 代码 (称为旁路) 在网上很常见。

谷歌的工程师已经在使用 XSS Auditor 来 筛选过滤 可疑的 XSS 代码,而不是完全阻塞访问,以防止给大家带来“不良后果”,但这似乎还不够,现在他们想要完全消除它。


移除 XSS Auditor 后的影响

谷歌高级安全工程师 Eduardo Vela Nava 首次讨论取消 XSS Auditor 的计划时, 他说 :

我们没有发现任何证据表明 XSS Auditor 有效控制了 XSS,相反,我们向开发人员解释为什么他们应该修复 bug 时遇到了很多的困难,即便浏览器显示攻击已经发生过了。在过去的 3 个月中,我们调查了所有触发 XSS Auditor 的内部 XSS bug,并找到了所有这些 bug 的旁路。

虽然有一些阻力,但开发人员似乎已经达成了足够的共识,他们将继续推进该计划。谷歌安全工程师托马斯·塞佩兹周一宣布了这一声明,他说:

XSS 检查经常被绕过,有时候也会阻止一些合法站点的工作。XSS 漏洞一旦被发现,再采取行动实际已经晚了。它还会引入跨站点的信息泄漏。事实证明,很难修复所有的信息泄露。

如果没有 XSS Auditor,web 开发人员将如何检查他们的站点是否存在 bug ?Auditor 的另一个作用是在开发中提供帮助:一个称为可信类型的应用程序编程接口 (api)。受信任类型默认情况下将用户输入视为不可信的,并强制开发人员在将其包含在 web 页面之前对其进行清理。


英文原文: https://nakedsecurity.sophos.com/2019/07/18/google-chrome-is-ditching-its-xss-detection-tool/ 


链接: https://fly63.com/article/detial/4363

xss 加载远程第三方JS

没有调用远程平台,用web接收cookie ,图片创建script节点,链接远程第三方JS,总的来说,details详细信息展开时触发,往往是被忽略的一个点.三个点:标签、属性、事件代码。

XSS跨站脚本攻击类型、分类

XSS 是跨站脚本攻击(Cross Site Scripting)的简写,但是从首写字母命名的方式来看,应该取名 CSS,但这样就和层叠样式表(Cascading Style Sheets,CSS)重名了,所以取名为 XSS。

XSS攻击

在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确: XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。

Angular怎么防御xss攻击?

(XSS)攻击是一种注入类型,其中恶意脚本被注入到其他良性和可信赖的网站中。那么Angular怎么防御xss攻击?当攻击者使用Web应用程序将恶意代码(通常以浏览器端脚本的形式)发送给不同的最终用户时,就会发生XSS攻击。

CSRF 与 XSS

CSRF:需要用户先登录网站A,获取 cookie。XSS:不需要登录。CSRF:是利用网站A本身的漏洞,去请求网站A的api。XSS:是向网站 A 注入 JS代码,然后执行 JS 里的代码,篡改网站A的内容。

浅谈 React 中的 XSS 攻击

前端一般会面临 XSS 这样的安全风险,但随着 React 等现代前端框架的流行,使我们在平时开发时不用太关注安全问题。以 React 为例,React 从设计层面上就具备了很好的防御 XSS 的能力

前端安全_浅谈JavaScript拦截XSS攻击

XSS/跨站脚本攻击,是一种代码注入网页攻击,攻击者可以将代码植入到其他用户都能访问到的页面(如论坛、留言板、贴吧等)中。如今,XSS 攻击所涉及的场景愈发广泛。越来越多的客户端软件支持 html 解析和 JavaScript 解析,比如:HTML 文档、XML 文档、Flash、PDF、QQ

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!