两项CSP安全工具之一的CSP Mitigator为Chrome扩充程式。
图片来源:Google于本周释出了CSP Evaluator及CSP Mitigator两项工具以协助网站管理人员防御跨站指令码(Cross-site Scripting, XSS)攻击。
跨站指令码一直是这十几年来最主要的网页安全漏洞之一,骇客可利用相关漏洞在合法网站或服务上注入恶意程式,并带来恶意广告、水坑攻击或偷渡式下载攻击等,光是这两年Google就付出超过120万美元给找出Google各种应用程式中XXS安全漏洞的研究人员。
而最常用来防範XXS攻击的则是内容安全政策(Content Security Policy,CSP),它允许开发人员弹性设定各种政策,限制可执行的程式,例如即使骇客在网页上注入了恶意的HTML,也无法载入恶意程式,现阶段市场上主要的浏览器都支援CSP。
然而,Google指出,CSP的弹性造成了更大的问题,因为开发人员所制定的安全政策也许表面上看来是可行的,但实际上并无真正的安全效益。Google近日分析了逾10亿个网域,发现部署CSP的网域中,有95%的政策是无效的,根本无法抵挡XSS攻击,其中一个原因是在15个开发人员最常用的白名单网域名,有14个允许骇客绕过CSP保护。
因此,Google释出了CSP Evaluator与CSP Mitigator来强化CSP。其中,CSP Evaluator可视觉化政策设定的成效,并侦测是否有细微的配置错误,而CSP Mitigator则为一Chrome扩充程式,可协助开发人员来检验应用程式与以随机乱数为基础(nonce-based)的CSP相容性。
此外,Google也在本周将CSP纳入修补程式奖励计画(Patch Reward Program)中,只要主动协助受欢迎的开放源码网页框架相容于基于随机乱数的CSP就有机会赢得奖励,此一计画的奖励金额自500美元到1万美元不等。
?
I 相关 / Other
示意图,与新闻事件无关。 图片来源: Facebook 脸书(Facebook)于本周释出了支援Windows 10的osquery安全工具。osquery是一个基于SQL的侦测工具,可即时检视企业基础设施的状态,脸书早在2014年便开源osquery,但
示意图,与新闻事件无关。 掌管全球银行跨行交易清算网路的环球银行金融电信协会(SWIFT)对外透露,光在今年夏季期间,就发生三起新的银行遭骇事件,该协会警告,针对银行发动的网路攻击,将会持续增加。SWIFT执行长
示意图,与新闻事件无关。 图片来源: openssl.org OpenSSL于上周修补了14个安全漏洞,其中包含一个藏匿在「线上凭证状态协定」(Online Certificate Status Protocol ,OCSP)的重大漏洞,该漏洞可造成记忆体损耗并
图片来源: Google Google旗下的机器学习系统TensorFlow自2015年开源释出后,便陆续扩增与加强系统的功能,日前Google又开源释出TensorFlow系统最新版本的图片标题工具Show and Tell,加强了图片标题工具的电脑视觉元
OVH遭史上最大DDoS攻击来袭, 逾14万台网路摄影机带来近1Tbps的巨量攻击
示意图,与新闻事件无关。 图片来源: OVH 法国的网站代管服务供应商OVH坦承在上周遭到大规模的分散式阻断服务攻击(DDoS),其颠峰攻击流量接近1Tbps,成为史上最大的DDoS攻击。这波攻击从9月18日持续到9月22日,O