محصورکننده حملات XSS
گوگل افزونه‌های ویژه شناسایی حملات XSS را منتشر کرد
گوگل در ارتباط با حملات XSS گفته است: «این شرکت‌ تنها به منظور شناسایی باگ‌های XSS نزدیک به 1.2 میلیارد دلار پرداخت کرده است.» بر همین اساس دو افزونه کاملا کاربردی CSP Evaluator و CSP Mitigator را به منظور کمک به کاربران در ارتباط با شناسایی باگ‌های XSS در اختیارشان قرار داده است.

دو ابزاری که از سوی گوگل عرضه شده است به کارشناسان امنیتی کمک می‌کند تا نقاط ضعفی که اغلب باعث به وجود آمدن حملات XSS می‌شوند را شناسایی کنند. هر دو این ابزارها در تعامل با سیاست امنیت محتوایی (CSP) سرنام Content Security Policy هستند. سیاست امنیت محتوایی سازوکار امنیتی است که از سوی مرورگرهای بزرگ به شیوه‌های مختلف مورد استفاده قرار می‌گیرد. سیاست امنیت محتوایی مشتمل بر قوانینی است که به توسعه‌دهندگان اجازه می‌دهد، محدودیت‌هایی را در ارتباط با اسکریپت‌هایی که درون یک صفحه اجرا می‌شوند به مرحله اجرا درآورند. در نتیجه زمانی که هکرها به واسطه یک آسیب‌پذیری کاربردی راهی برای تزریق کد HTML درون یک صفحه پیدا می‌کنند، این توانایی را نخواهند داشت اسکرپیت‌های مخرب یا منابع دیگر را بارگذاری کنند. به دلیل اینکه CSP اجرای این اسکرپیت‌ها در سطح مرورگر را مسدود می‌کند.

مطلب پیشنهادی

قفل هوشمند گوگل چیست؟

آمارها نشان می‌دهند، 95 درصد سایت‌ها به درستی CSP را مستقر نکرده‌اند. با وجود مزایایی که این فناوری امنیتی دارد، گوگل می‌گوید 95 درصد از یک میلیارد دامنه‌ای که در یک پژوهش تحقیقاتی مورد پویش قرار داده است CSP را به شکل نامناسبی مستقر کرده‌اند که همین موضوع به هکرها اجازه می‌دهد این مکانیزم حفاظتی را دور زده و اسکریپت‌های خود را با هدف پیاده‌سازی حملات XSS بارگذاری کنند. با اجرای CSP Evaluator در قالب یک پویشگر ویژه سایت‌ها و افزونه‌های کروم، گوگل امیدوار است مدیران سایت‌ها بتوانند سیاست‌های CSP خود را آزمایش کرده و ویژگی‌های محافظتی خود در برابر حملات XSS را تقویت کنند.

گوگل به مدیران سایت‌ها پیشنهاد کرده است سیاست‌های CSP مبتنی بر نانس را مورد استفاده قرار دهند. نانس واژه‌ای برای توصیف توکن‌های موقت، یکبار مصرف و تصادفی است. نانس‌ها راهکار ایمنی هستند که اجازه می‌دهند سیاست‌های CSP به درستی مستقر شوند. به طوری که امکان گذر از آن‌ها وجود ندارد. گوگل برای آنکه به توسعه‌دهندگان کمک کند تا سیاست‌های مبتنی بر CSP را به شکل درستی در سایت‌ها و برنامه‌های کاربردی خود پیاده‌سازی کنند، افزونه دومی که CSP Mitigator نامیده می‌شود را در اختیار آن‌ها قرار داده است. گوگل می‌گوید: «افزونه دوم قادر به شناسایی اسکرپیت‌هایی است که از خصلت‌های درستی استفاده نمی‌کنند.»

مطلب پیشنهادی

 روشی منحصر به فرد برای هک دستیاران صوتی
دستیاران شخصی به سادگی در تیرس هکرها قرار دارند

 این افزونه همچنین قادر است اداره کننده‌ رویدادهای داخلی "javascript:"، آدرس‌های اینترنتی و دیگر جزییات مرتبط را شناسایی کند. علاوه بر این، گوگل اعلام کرده است، هر دو افزونه به طور داخلی توسط سرویس‌های گوگل همچون Google Cloud Console، Google Photos، Google MyAccount History، Google Careers Search، Google Maps Timeline و Google's Cultural Institute مورد استفاده قرار می‌گیرد. گوگل بعد از آنکه اعلام داشت، 1.2 میلیارد دلار را تنها برای شناسایی اشکالات XSS و به منظور شناسایی باگ‌ها در محصولات خود هزینه کرده است، تصمیم گرفت به‌طور جدی مشکل XSS که امروزه تبدیل به آفتی برای سایت‌ها شده است را برطرف سازد. 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟