Google删除Chrome的内置XSS保护
Google工程师计划删除Chrome安全功能,而该功能多年来一直未能达到应提供的保护水平。
名为XSS Auditor的功能在2010年随Google Chrome v4的发布而添加到Chrome中。
顾名思义,XSS Auditor会在网站的源代码中扫描看起来像跨站点脚本(XSS)攻击的模式,这些模式可能试图在用户的浏览器中运行恶意代码。
如果找到了已知的XSS模式,Chrome可能会删除恶意代码,或者可能完全阻止该网站的加载,并显示如下错误。
多年来,XSS Auditor一直是浏览器领域的独特功能,并已帮助Chrome与其他浏览器脱颖而出,成为唯一具有内置XSS保护功能的浏览器。
自发布以来,该功能已在附加组件的帮助下复制到其他浏览器中,其中最著名的是NoScript扩展,该扩展功能多年来一直具有XSS保护机制。
XSS AUDITOR现在充满漏洞
但是,7月15日星期一,Google工程师宣布了计划弃用Chrome并从Chrome中删除XSS Auditor的计划。
工程师列举了删除该功能的几个原因。提到的第一个是在过去几年中发现的众多XSS Auditor绕过技术。
尽管XSS Auditor推出后是一个著名的功能,但现在它已成为一条重点,漏洞发现者开玩笑说,直到找到XSS Auditor旁路,您才真正成为安全研究人员。在仅仅两分钟,ZDNet的发现10 XSS审计员无非谷歌搜索[更多旁路1,2,3,4,5,6,7,8,9,10 ],和大量更是左侧的等待。
此外,修补所有XSS Auditor绕过漏洞的过程本身就给Chrome带来了漏洞。Chrome工程师Thomas Sepez 在Google Groups讨论中宣布弃用XSS Auditor时说,XSS Auditor引入了许多“跨站点信息泄漏”,并且“解决所有信息泄漏已证明很困难”。
还有误报的问题。XSS Auditor基于错误检测阻止了对合法站点的访问的情况。
这就是为什么随着Chrome 74的发布,Google将默认的XSS Auditor模式从“阻止”切换为“过滤器”的原因,这意味着自4月以来,XSS Auditor一直没有禁止访问包含XSS代码的网站,而是删除了代码,以减少其工程师收到的误报数量。
由TRUSTED TYPES API取代
弃用XSS Auditor组件的工作于去年10月开始。Google尚未指定要禁用的Chrome版本XSS Auditor,并最终将其从Chrome代码库中永久删除。
好消息是Google已经开始着手替代产品。2月份,Google宣布其工程师已经开发了Trusted Types浏览器API,这是针对基于DOM的XSS攻击的新防御方法,他们声称这将“ 消除DOM XSS”。
与作为Chrome组件的XSS Auditor不同,新的Trusted Types API是一种网络标准,理论上也可以与其他浏览器一起使用。
根据1月发布的Imperva报告,XSS漏洞是2014、2015、2016和2017年最普遍的基于Web的攻击形式。它们是去年第二大最常见的基于Web的攻击形式,仅在之所以排名靠前,是因为SQL注入攻击很少见。
XSS漏洞经常被公司和安全专家轻描淡写,因为它们并不总是对访问站点的用户造成直接损害。但是,它们通常是复杂漏洞利用例程中的第一个垫脚石,从而促进了更具破坏性的黑客攻击。在许多情况下,消除XSS攻击将使用户免受更复杂的攻击的威胁,而如果没有XSS的最初立足点,这将是不可能的。
除Chrome之外,还有XSS筛选器的另外两个浏览器是Internet Explorer和Edge。去年,Microsoft从Edge删除了XSS筛选器。操作系统和浏览器制造商引用了诸如内容安全策略之类的现代标准,这些标准可以更有效地阻止网站级别的XSS攻击。