Cross-Site Scripting X-XSS-Protection Disabled By Bug In Microsoft Edge

Bezpečnostní / Cross-Site Scripting X-XSS-Protection Disabled By Bug In Microsoft Edge 2 minuty čtení

Microsoft

Funkce X-XSS Protection v Microsoft Edge prohlížeč byl zaveden, aby zabránil útokům skriptování napříč weby na systém od jeho zavedení v roce 2008. Ačkoli někteří v technickém průmyslu, jako jsou vývojáři Mozilla Firefox a několik analytiků, tuto funkci kritizovali a Mozilla ji odmítla začlenit do jeho prohlížeč, který odvrací naděje na integrovanější zážitek z křížového procházení, Google Chrome a vlastní internetový prohlížeč Microsoft Internet Explorer udržují tuto funkci spuštěnou a ze společnosti Microsoft se neobjevilo žádné prohlášení, které by naznačovalo opak. Od roku 2015 je filtr ochrany Microsoft Edge X-XSS nakonfigurován takovým způsobem, že filtruje takové pokusy o křížení kódu na webových stránkách bez ohledu na to, zda byl povolen skript X-XSS, ale zdá se, že funkce, která byla jednou ve výchozím nastavení objevil Gareth Heyes z PortSwigger nyní je zakázáno v prohlížeči Microsoft Edge, něco, co považuje za chybu, protože společnost Microsoft nepřihlásila odpovědnost za tuto změnu.

Pokud je v binárním jazyce skriptů vypnuto a zapnuto skript, je-li prohlížeč hostitelem záhlaví s vykreslením „X-XSS-Protection: 0“, bude obranný mechanismus skriptování mezi weby deaktivován. Pokud je hodnota nastavena na 1, bude povolena. Třetí prohlášení „Ochrana X-XSS: 1; mode = block ”zcela zablokuje webovou stránku před příchodem vpřed. Heyes zjistil, že ačkoli má být hodnota ve výchozím nastavení nastavena na 1, zdá se, že je nyní v prohlížečích Microsoft Edge nastavena na 0. Zdá se však, že tomu tak není v prohlížeči Microsoft Internet Explorer. Při pokusu o zrušení tohoto nastavení, pokud uživatel nastaví skript na 1, vrátí se zpět na 0 a funkce zůstane vypnutá. Vzhledem k tomu, že společnost Microsoft o této funkci nepřišla a Internet Explorer ji nadále podporuje, lze dojít k závěru, že se jedná o výsledek chyby v prohlížeči, kterou společnost Microsoft očekává v příští aktualizaci.



K útokům skriptování mezi weby dochází, když důvěryhodná webová stránka přenáší uživateli škodlivý boční skript. Jelikož je webová stránka důvěryhodná, není její obsah filtrován, aby se zajistilo, že se takové škodlivé soubory neobjeví. Zásadním způsobem, jak tomu zabránit, je zajistit, aby byl HTTP TRACE v prohlížeči zakázán pro všechny webové stránky. Pokud hacker uložil škodlivý soubor na webovou stránku, spustí se při přístupu uživatele příkaz HTTP Trace, aby ukradl soubory cookie uživatele, které může hacker použít k přístupu k informacím uživatele a potenciálnímu hacknutí jeho zařízení. Abychom tomu v prohlížeči zabránili, byla zavedena funkce X-XSS-Protection, ale analytici tvrdí, že takové útoky dokážou zneužít samotný filtr k získání informací, které hledají. Navzdory tomu však mnoho webových prohlížečů zachovalo tento skript jako první linii obrany, aby se zabránilo nejzákladnějším druhům phishingu XSS, a začlenily vyšší definice zabezpečení, aby opravily všechny chyby zabezpečení, které samotný filtr představuje.