Google於本周釋出了CSP Evaluator及CSP Mitigator兩項工具以協助網站管理人員防禦跨站指令碼(Cross-site Scripting, XSS)攻擊。
跨站指令碼一直是這十幾年來最主要的網頁安全漏洞之一,駭客可利用相關漏洞在合法網站或服務上注入惡意程式,並帶來惡意廣告、水坑攻擊或偷渡式下載攻擊等,光是這兩年Google就付出超過120萬美元給找出Google各種應用程式中XSS安全漏洞的研究人員。
而最常用來防範XSS攻擊的則是內容安全政策(Content Security Policy,CSP),它允許開發人員彈性設定各種政策,限制可執行的程式,例如即使駭客在網頁上注入了惡意的HTML,也無法載入惡意程式,現階段市場上主要的瀏覽器都支援CSP。
然而,Google指出,CSP的彈性造成了更大的問題,因為開發人員所制定的安全政策也許表面上看來是可行的,但實際上並無真正的安全效益。Google近日分析了逾10億個網域,發現部署CSP的網域中,有95%的政策是無效的,根本無法抵擋XSS攻擊,其中一個原因是在15個開發人員最常用的白名單網域名,有14個允許駭客繞過CSP保護。
因此,Google釋出了CSP Evaluator與CSP Mitigator來強化CSP。其中,CSP Evaluator可視覺化政策設定的成效,並偵測是否有細微的配置錯誤,而CSP Mitigator則為一Chrome擴充程式,可協助開發人員來檢驗應用程式與以隨機亂數為基礎(nonce-based)的CSP相容性。
此外,Google也在本周將CSP納入修補程式獎勵計畫(Patch Reward Program)中,只要主動協助受歡迎的開放源碼網頁框架相容於基於隨機亂數的CSP就有機會贏得獎勵,此一計畫的獎勵金額自500美元到1萬美元不等。