کمیته رکن چهارم – دو ابزاری که از سوی گوگل عرضه شده است به کارشناسان امنیتی کمک میکند تا نقاط ضعفی که اغلب باعث به وجود آمدن حملات XSS میشوند را شناسایی کنند. هر دو این ابزارها در تعامل با سیاست امنیت محتوایی (CSP) سرنام Content Security Policy هستند.
به گزارش کمیته رکن چهارم،سیاست امنیت محتوایی سازوکار امنیتی است که از سوی مرورگرهای بزرگ به شیوههای مختلف مورد استفاده قرار میگیرد. سیاست امنیت محتوایی مشتمل بر قوانینی است که به توسعهدهندگان اجازه میدهد، محدودیتهایی را در ارتباط با اسکریپتهایی که درون یک صفحه اجرا میشوند به مرحله اجرا درآورند. در نتیجه زمانی که هکرها به واسطه یک آسیبپذیری کاربردی راهی برای تزریق کد HTML درون یک صفحه پیدا میکنند، این توانایی را نخواهند داشت اسکرپیتهای مخرب یا منابع دیگر را بارگذاری کنند. به دلیل اینکه CSP اجرای این اسکرپیتها در سطح مرورگر را مسدود میکند.
آمارها نشان میدهند، ۹۵ درصد سایتها به درستی CSP را مستقر نکردهاند. با وجود مزایایی که این فناوری امنیتی دارد، گوگل میگوید ۹۵ درصد از یک میلیارد دامنهای که در یک پژوهش تحقیقاتی مورد پویش قرار داده است CSP را به شکل نامناسبی مستقر کردهاند که همین موضوع به هکرها اجازه میدهد این مکانیزم حفاظتی را دور زده و اسکریپتهای خود را با هدف پیادهسازی حملات XSS بارگذاری کنند. با اجرای CSP Evaluator در قالب یک پویشگر ویژه سایتها و افزونههای کروم، گوگل امیدوار است مدیران سایتها بتوانند سیاستهای CSP خود را آزمایش کرده و ویژگیهای محافظتی خود در برابر حملات XSS را تقویت کنند.
گوگل به مدیران سایتها پیشنهاد کرده است سیاستهای CSP مبتنی بر نانس را مورد استفاده قرار دهند. نانس واژهای برای توصیف توکنهای موقت، یکبار مصرف و تصادفی است. نانسها راهکار ایمنی هستند که اجازه میدهند سیاستهای CSP به درستی مستقر شوند. به طوری که امکان گذر از آنها وجود ندارد. گوگل برای آنکه به توسعهدهندگان کمک کند تا سیاستهای مبتنی بر CSP را به شکل درستی در سایتها و برنامههای کاربردی خود پیادهسازی کنند، افزونه دومی که CSP Mitigator نامیده میشود را در اختیار آنها قرار داده است. گوگل میگوید: «افزونه دوم قادر به شناسایی اسکرپیتهایی است که از خصلتهای درستی استفاده نمیکنند.»
این افزونه همچنین قادر است اداره کننده رویدادهای داخلی “javascript:”، آدرسهای اینترنتی و دیگر جزییات مرتبط را شناسایی کند. علاوه بر این، گوگل اعلام کرده است، هر دو افزونه به طور داخلی توسط سرویسهای گوگل همچون Google Cloud Console، Google Photos، Google MyAccount History، Google Careers Search، Google Maps Timeline و Google’s Cultural Institute مورد استفاده قرار میگیرد. گوگل بعد از آنکه اعلام داشت، ۱٫۲ میلیارد دلار را تنها برای شناسایی اشکالات XSS و به منظور شناسایی باگها در محصولات خود هزینه کرده است، تصمیم گرفت بهطور جدی مشکل XSS که امروزه تبدیل به آفتی برای سایتها شده است را برطرف سازد.
منبع:رسانه خبری امنیت اطلاعات
