ارائه CSP Evaluator توسط شرکت گوگل برای مقابله با XSS

0
547
CSP - XSS - حملات XSS

شرکت گوگل با ارائه مجموعه جدیدی از ابزار‌ها، به سازمان‌ها کمک می‌کند تا با استفاده از مکانیسم Content Security Policy یا به اختصار CSP، به تقویت هر چه بیشتر سیستم‌های تحت وب در مقابل حملات  (Cross-Site Scripting (XSS بپردازند.

بعد از گذشت بیش از یک دهه، XSS همچنان به عنوان یکی از متداول‌ترین نقص‌های امنیتی به شمار می‌رود که سازمان‌ها را در سراسر جهان در معرض خطر قرار می‌دهد؛ اقدام جدید شرکت گوگل جهت رفع این آسیب‌پذیری، حتی پرداخت مبالغی بیش ۱ میلیون دلار در طول دو سال گذشته جهت شناسایی نقص‌های مربوط به این آسیب‌پذیری را پایان بخشید.

طبق توضیحات گوگل، CSP به منظور کاهش ریسک آسیب‌پذیری‌های ناشی از XSS طراحی شده است و امکان تعریف Policyهایی را برای Developerها جهت محدود نمودن اسکریپت‌های قابل اجرا فراهم می‌نماید؛ بنابراین حتی در صورت وارد نمودن HTML در یک صفحه‌ی آسیب‌پذیر نیز، مهاجمان قادر به بارگزاری اسکریپت‌های مخرب و سایر منابع نمی‌باشند.

با این وجود، این راهکار همیشه کارآمد نمی‌باشد. شرکت گوگل ادعا می‌کند که در پی آنالیز بیش از یک میلیون دامین، دریافته است که ۹۵ درصد از Policyهای CSP بی‌اثر می‌باشند!

گوگل در ادامه اظهار داشت: یکی از دلایل اصلی این ناکارآمدی آن است که معمولا بیش از ۱۵ دامین توسط Developerها برای بارگذاری اسکریپت‌های خارجی در لیست برنامه‌ها یا آدرس‌های ایمن قرار می‌گیرد و این بدان معناست که مهاجمان می‌توانند با استفاده از ۱۴ الگو امکان عبور از محافظت‌های CSP را برای خود فراهم نمایند.

از نظر شرکت گوگل، بهبود و توسعه این مورد از اهمیت فراوانی برخوردار بوده و به اکوسیستم‌های تحت وب در بهره‌مندی کامل از پتانسیل‌های CSP کمک می‌نماید.

شرکت گوگل برای کمک به پیشبرد این امر، اقدام به عرضه CSP Evaluator نموده که به عنوان ابزاری جدید جهت شناسایی پیکربندی‌های نامناسب می‌باشد؛ از قابلیت‌های دیگر این ابزار، تضمین معنی‌دار و کاربردی بودن Policyها از لحاظ امنیتی و عدم سوء‌استفاده و تخریب آن‌ها توسط مهاجمان می‌باشد.

به هرحال ممکن است این ابزار به دلیل تعداد دامین‌های معمول که امکان گذر و عبور از CSP را فراهم می‌کنند، دچار ایراداتی باشد که در اینصورت استفاده از یک CSP Policy Nonce-Based یا به عبارتی Policy‌های مبتنی بر شرایط فعلی، به عنوان بهترین گزینه محسوب می‌شود.

در بیشتر موارد راه حل ساده‌تر به جای قرار دادن تمامی موقعیت‌های مجاز جهت اجرای اسکریپت در لیست موقعیت‌های قابل اطمینان، ترمیم و اصلاح برنامه‌های کاربردی می‌باشد؛ بدین ترتیب صحت سلامت اسکریپت با ارائه اطلاعات مربوط به وضعیت کنونی آن از طریق ارائه‌ی یک Token غیرقابل پیش بینی و یکبار مصرف تضمین می‌گردد. در این روش باید در داخل Policy، مقداری تعریف شود که آن مقدار باید با مقدار موجود در داخل Token مطابقت نماید. بدین تربیت مورد اطمینان بودن Script توسط Developerها تایید می‌شود.

به نظر می‌رسد یکی از ویژگی‌های جدید و پویا که در مشخصات CSP3 که در آینده‌ای نزدیک ارائه خواهد شد، ساده‌تر شدن پذیرش موارد فوق حتی برای برنامه‌های مدرن و پیچیده می‌باشد.

شرکت گوگل از عرضه CSP Mitigator نیز خبر داده است که یکی از افزونه‌های Chrome برای کمک به Developerها، جهت بازنگری یک برنامه کاربردی برای ایجاد سازگاری با Nonce-Based CSP می‌باشد.

سازگاری CSP با چارچوب‌های متداول Open-Source وب نیز از طریق برنامه‌ی Patch Reward خواهد بود تا قدردان تمامی تلاش‌های صورت گرفته جهت سازگار نمودن آن‌ها با Nonce-Based CSP باشد.

Gareth O’Sullivan، مدیر بخش معماری راهکارها در WhiteHat Security عنوان کرد: طی سال گذشته حدود ۸۶ درصد از ۳۰.۰۰۰ سایت بازدید شده توسط این شرکت، حداقل دارای یک آسیب‌پذیری جدی بوده‌اند که از طریق آن امکان در خطر قرار گرفتن سیستم توسط مهاجمان، امکان‌پذیر بود.

وی همچنین افزود: شاید این برای شما کمی عجیب به نظر بیاید که ترمیم آسیب‌پذیری‌های وبسایت، به طور میانگین ۱۹۳ روز به طول بیانجامد، ضمن اینکه ممکن است ۳۹ درصد از نقص‌ها نیز هیچگاه از بین نروند.

در صورتی که به هر دلیل هیچ برنامه‌‌ ای جهت رفع مشکل تدوین نشده باشد، ترمیم و اصلاح مشکل یکی از موضوعات اصلی به شمار می‌رود که در این مورد صرفا به یافتن مشکل نمی‌توان بسنده کرد. علاوه بر آن روند اصلاح و ترمیم می‌بایست ساده‌تر و ارزان‌تر شود که در غیر اینصورت امنیت محیط وب افزایش نمی‌یابد.

بدون دیدگاه

دیدگاهتان را بنویسید

*