您现在的位置是:首页 > 教程资讯

谷歌将删除内置的XSS保护器(XSAuditor)

作者:果E安全网时间:2020-06-26 12:26:52分类:教程资讯

简介XSSAuditor在阻止XSS攻击方面效率太低,而且需要花大力气来维护。为此,Google将删除Chrome内置的XSS保护。谷歌工程师计划删除一项Chrome安全功能,该功能一直与多年来提供的保护措施不相符。这款名为XSSAuditor的功能是在2010年随着GoogleChromev4的发布而添加到Chrome中的。顾名思义,XSSAuditor负责扫描网站的源代码,寻找类似跨站

  XSS Auditor在阻止XSS攻击方面效率太低,而且需要花大力气来维护。为此,Google将删除Chrome内置的XSS保护。谷歌工程师计划删除一项Chrome安全功能,该功能一直与多年来提供的保护措施不相符。

  这款名为XSS Auditor的功能是在2010年随着Google Chrome v4的发布而添加到Chrome中的。顾名思义,XSS Auditor负责扫描网站的源代码,寻找类似跨站点脚本(XSS)攻击的模式,这种攻击可能试图在用户的浏览器中运行恶意代码。

  如果找到已知的XSS模式,Chrome可能会删除恶意代码,或者可能阻止网站完全加载,显示如下所示的错误。

  多年来,XSS Auditor一直是浏览器保护领域的一个独特功能,并帮助Chrome从其他浏览器中脱颖而出,成为唯一一个内置XSS保护功能的浏览器。

  自XSS Auditor推出以来,其他浏览器也通过附件扩展了该功,其中最着名的是NoScript扩展,它多年来一直具有XSS保护机制。

  不过,XSS Auditor现在漏洞百出。在7月15日,谷歌工程师宣布了删除Chrome中的XSS Auditor的计划。

  工程师列举了删除该功能的几个原因,其中最主要的原因就是过去几年发现XSS Auditor绕过方法太多了。虽然XSS Auditor在刚刚推出之后反响很好,但现在它却成了一个笑话,以至于有人开玩笑说,如果你还没有在XSS Auditor发现过一个绕过方法,那就不算是真正的安全研究人员。经过实际测试,在短短的两分钟内,ZDNet就发现十个绕过XSS Auditor的方法。

  此外,修补XSS Auditor绕过漏洞的过程本身也已经给Chrome带来了很多攻击面。Chrome工程师托马斯?塞佩兹表示:

  “XSS Auditor已经引入了许多跨站点信息泄漏,并且修复所有信息泄漏已经证明是困难的。”

  另外,XSS Auditor还有大量误报的问题,它根据错误检测而阻止合法站点的访问情况最近经常出现。这就是为什么随着Chrome 74的发布,Google将默认的XSS Auditor模式从“阻止”切换为“过滤”,这意味着自4月以来,XSS Auditor一直没有执行阻止访问包含XSS代码的网站,而是删除了代码,试图减少其工程师所获得的误报报告的数量。

  XSS Auditor将被可信类型API替换

  去年10月,Google就已经开始着手弃用XSS Auditor组件。不过目前谷歌尚未指定哪些Chrome版本将禁用XSS Auditor,并最终从Chrome代码库中将其删除。

  好消息是,谷歌已经找到了备用方案。今年2月,谷歌宣布其工程师开发了可信类型浏览器API,这是对基于DOM的XSS

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

我来说两句