Google выпускает новые инструменты для предотвращения XSS-атак

Олег Иванов 28 Сентября 2016 - 12:03

Домашние пользователи

Малый и средний бизнес

Google

Средства тестирования на проникновение

Средства поиска уязвимостей

Уязвимости программ

...

Google выпускает новые инструменты для предотвращения XSS-атак

Google выпустили новые инструменты и документацию к ним, чтобы помочь разработчикам снизить риск атак XSS с помощью стандарта Content Security Policy (CSP).

XSS-уязвимости продолжают затрагивать многие веб-приложения, даже те, которые разработаны крупными компаниями. За последние два года Google выплатила экспертам 1,2 млн. долларов за обнаружение этих уязвимостей.

Одним из эффективных способов снижения риска XSS является CSP – механизм, позволяющий разработчикам ограничить выполнение определенных сценариев. Если политики настроены должным образом, злоумышленники не смогут загружать вредоносные скрипты, даже если им удастся внедрить HTML код в веб-страницу.

Однако CSP не способен полностью исключить риск XSS, даже если все настроено должным образом. Исследование, проведенное недавно экспертами Google, более чем на 1 млрд. доменов, показали, что политики CSP можно обойти в подавляющем большинстве случаев.

Google хочет помочь разработчикам, для этого они выпустили инструмент CSP Evaluator. Он помогает определить, насколько правильно сконфигурированы политики CSP. CSP Evaluator также существует в виде расширения для Chrome.

Несмотря на то, что такой инструмент может быть очень полезным, Google отметили, что на данный момент сложно создать белый список безопасных скриптов для сложных приложений.

Google сами использовали такой подход в некоторых своих приложениях, например: Cloud Console, History, Photos, Maps Timeline, Careers Search и Cultural Institute. Компания также выпустили другое расширение для Chrome - CSP Mitigator. Также доступна документация с описанием наиболее эффективных стратегий для реализации CSP.

Кроме того, Google привлекли экспертов по вопросам безопасности над дальнейшими исследованиями в области защиты от XSS-атак.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Мая 2025 - 16:29

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи Корпорации

Disney взломал хактивист: доступ получил через поддельный ИИ-инструмент

25-летний житель Калифорнии Райан Митчелл Крамер признал вину в кибератаке на компанию Disney. По данным Минюста США, он незаконно получил доступ к корпоративным системам и угрожал нанести ущерб, выдавая себя за участника хактивистской группировки под названием NullBulge.

Атака произошла летом 2024 года. Disney начала внутреннее расследование после того, как некая группа NullBulge заявила о краже 1,1 ТБ данных из внутренних Slack-каналов компании.

В руках злоумышленников оказались сообщения, данные о проектах, которые ещё не вышли, логины, пароли и даже исходный код.

NullBulge позиционировали себя как борцов за права художников и справедливую оплату труда, но, как выяснилось, всё было не так благородно.

По информации аналитиков из SentinelOne, действия Крамера больше напоминали типичную киберпреступность: он распространял вредоносный код через популярные платформы вроде GitHub и Hugging Face, маскируя его под инструменты для создания ИИ-арта.

В случае с Disney всё началось с того, что один из сотрудников скачал поддельный ИИ-инструмент на личный компьютер. Через этот заражённый девайс Крамер получил доступ к корпоративному Slack-аккаунту сотрудника, а затем — ко множеству внутренних каналов Disney.

Обнаружив, сколько информации ему удалось получить, он попытался шантажировать сотрудника, а после игнорирования — слил в Сеть как его персональные данные, так и корпоративную информацию.

После утечки Disney, по слухам, отказалась от использования Slack внутри компании. А вот сам сотрудник, с устройства которого всё началось, лишился работы за нарушение политики безопасности и подал на Disney в суд за несправедливое увольнение.

Крамер также признался во взломе как минимум двух других жертв, чьи имена не разглашаются. Ему грозит до 10 лет лишения свободы — по две уголовные статьи, каждая из которых предусматривает до пяти лет.

И, как добавляют американские власти, это не единственная хакерская история, связанная с Disney за последнее время: месяц назад бывший сотрудник Disney World получил три года тюрьмы за попытку вмешательства в работу серверов и изменения внутренних меню.

Google выпускает новые инструменты для предотвращения XSS-атак

Читайте также