谷歌工程师计划删除一项Chrome安全功能,该功能一直与多年来提供的保护措施不相符。
这款名为XSS Auditor的功能随着Google Chrome v4的发布2010年添加到Chrome中。
顾名思义,XSS Auditor扫描网站的源代码,查找看起来像是跨站点脚本(XSS)攻击的模式,这些模式可能会尝试在用户的浏览器中运行恶意代码。
如果找到已知的XSS模式,Chrome可能会删除恶意代码,或者可能阻止网站完全加载,显示如下所示的错误。
多年来,XSS Auditor一直是浏览器领域的一个独特功能,它帮助Chrome独立于其他浏览器,是唯一一款具有内置XSS保护功能的浏览器。
自推出以来,该功能已经在附加组件的帮助下在其他浏览器中得到了复制,其中最着名的是NoScript扩展,它已经具有多年的XSS保护机制。
XSS AUDITOR现在已经充满了漏洞
7月15日星期一,谷歌工程师宣布计划弃用并删除Chrome中的XSS Auditor。
工程师列举了删除该功能的几个原因。提到的第一个是在过去几年中发现的众多XSS Auditor旁路。
虽然XSS Auditor发布后是一个著名的功能,但现在它已经成为了一个亮点,bug搜寻者开玩笑说,在找到一个XSS Auditor旁路之前,你并不是真正的安全研究人员。在短短的两分钟内,zdnet发现十个XSS审核员只需谷歌搜索就可以绕过。
此外,修补所有XSS Auditor旁路已经给Chrome本身带来了漏洞。在宣布XSS Auditor弃用的谷歌小组讨论中,Chrome工程师托马斯·塞佩兹表示,XSS Auditor已经引入了许多“跨站点信息泄漏”,并且“修复所有信息泄漏已经证明是困难的”。
还有误报的问题; XSS Auditor根据错误检测阻止访问合法站点的情况。
这就是为什么随着Chrome 74的发布,Google将默认的XSS Auditor模式从“阻止”切换为“过滤”,这意味着自4月以来,XSS Auditor一直没有阻止访问包含XSS代码的网站,而是删除了代码,试图减少其工程师所获得的误报报告的数量。
要被TRUSTED TYPES API替换
去年10月开始着手弃用XSS Auditor组件。谷歌尚未指定哪些Chrome版本将禁用XSS Auditor,最终将从Chrome代码库中删除。
好消息是谷歌已经开始进行替换。今年2月,谷歌宣布其工程师开发了可信类型浏览器API,这是对基于DOM的XSS攻击的新防御,他们声称这将“ 消除DOM XSS”。
与作为Chrome组件的XSS Auditor不同,新的可信类型API是一种Web标准,理论上也可以包含在其他浏览器中。
根据1月份发布的Imperva报告,XSS漏洞是2014年、2015年、2016年和2017年最普遍的基于Web的攻击形式。去年,它们是第二种最常见的基于Web的攻击形式,但由于SQL注入攻击中的一个不常见的尖峰,它们在顶级位置上消失了。
公司和安全专家经常忽略XSS漏洞,因为它们并不总是对访问站点的用户造成直接损害。然而,它们往往是复杂的漏洞利用程序中的第一个踏脚石,可以促进更具破坏性的攻击。在许多情况下,消除XSS攻击可以使用户免受更复杂的攻击,如果没有XSS提供的初始立足点,这将是不可能的。
除了Chrome之外,另外两个使用XSS过滤器的浏览器是Internet Explorer和Edge。Microsoft去年从Edge中删除了XSS过滤器。操作系统和浏览器制造商引用了内容安全策略等现代标准,可以更有效地阻止网站级别的XSS攻击。