Starp vietņu skriptu izveidošana X-XSS-Protection ir atspējota ar kļūdu Microsoft Edge

Starp vietņu skriptu izveidošana X-XSS-Protection ir atspējota ar kļūdu Microsoft Edge

Drošība / Starp vietņu skriptu izveidošana X-XSS-Protection ir atspējota ar kļūdu Microsoft Edge 2 minūtes lasīts

Microsoft

X-XSS aizsardzības iezīme Microsoft Edge pārlūks ir ieviests, lai novērstu vairāku vietņu skriptu uzbrukumus sistēmai kopš tās ieviešanas 2008. gadā. Lai gan daži tehnoloģiju nozarē, piemēram, Mozilla Firefox izstrādātāji un vairāki analītiķi, ir kritizējuši šo funkciju, Mozilla atsakoties to iekļaut tā pārlūks, novēršot cerības uz integrētāku savstarpējas pārlūkošanas pieredzi, Google Chrome un paša Microsoft Internet Explorer ir saglabājuši šīs funkcijas darbību, un no Microsoft vēl nav parādījies paziņojums, kas vēl norādītu pretējo. Kopš 2015. gada Microsoft Edge X-XSS aizsardzības filtrs ir konfigurēts tā, ka tas filtrē šādus koda šķērsošanas mēģinājumus tīmekļa lapās neatkarīgi no tā, vai X-XSS skripts ir iespējots, bet šķiet, ka funkcija, kas tika vienreiz pēc noklusējuma ir atklājis Garets Heyes no PortSwigger Lai to tagad atspējotu pārlūkā Microsoft Edge, kaut ko viņš uzskata par kļūdu, jo Microsoft nav izvirzījis atbildību par šīm izmaiņām.



Ja pārlūkprogrammā ir ieslēgta un izslēgta skriptu binārā valoda, galvene tiek atveidota “X-XSS-Protection: 0”, vairāku vietņu skriptu aizsardzības mehānisms tiks atspējots. Ja vērtība ir iestatīta uz 1, tā tiks iespējota. Trešais paziņojums “X-XSS-Protection: 1; mode = block ”pilnībā bloķē tīmekļa lapas parādīšanos. Heyes atklāja, ka, lai gan pēc noklusējuma tiek iestatīta vērtība 1, šķiet, ka Microsoft Edge pārlūkprogrammās tā tagad ir iestatīta uz 0. Šķiet, ka tas tā nav Microsoft pārlūkprogrammā Internet Explorer. Mēģinot mainīt šo iestatījumu, ja lietotājs skriptu iestata uz 1, tas atgriežas uz 0 un funkcija paliek izslēgta. Tā kā korporācija Microsoft nav nākusi klajā ar šo funkciju un programma Internet Explorer to turpina atbalstīt, var secināt, ka tas ir kļūdas rezultāts pārlūkprogrammā, kuru Microsoft paredzam novērst nākamajā atjauninājumā.



Vairāku vietņu skriptu uzbrukumi rodas, ja uzticama tīmekļa lapa pārsūta lietotājam ļaunprātīgu blakus skriptu. Tā kā vietne ir uzticama, vietnes saturs netiek filtrēts, lai nodrošinātu, ka šādi ļaunprātīgi faili netiek parādīti. Galvenais veids, kā to novērst, ir nodrošināt, ka pārlūkprogrammā ir atspējota HTTP TRACE visām tīmekļa lapām. Ja hakeris tīmekļa lapā ir saglabājis ļaunprātīgu failu, tad, kad lietotājs tam piekļūst, tiek palaista komanda HTTP Trace, lai nozagtu lietotāja sīkfailus, kurus hakeris savukārt var izmantot, lai piekļūtu lietotāja informācijai un, iespējams, uzlauztu viņa ierīci. Lai to novērstu pārlūkprogrammā, tika ieviesta funkcija X-XSS-Protection, taču analītiķi apgalvo, ka šādi uzbrukumi var izmantot pašu filtru, lai iegūtu meklēto informāciju. Neskatoties uz to, tomēr daudzas tīmekļa pārlūkprogrammas ir saglabājušas šo skriptu kā pirmo aizsardzības līniju, lai novērstu visvienkāršākos XSS pikšķerēšanas veidus, un ir iekļāvušas augstākas drošības definīcijas, lai aizlāpītu visas filtrā radītās ievainojamības.