iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 16
0
Security

資安x系統x絕對領域系列 第 19

[Day15]滲透測試xXXS驗證工具xCSP

  • 分享至 

  • xImage
  •  

去滲透測試時,幾乎都能遇到 XSS 的弱點,但要怎麼測試呢?
目前 Google 有工具可以做驗證了!
[CSP]https://csp-evaluator.withgoogle.com/

先前已經在[Day05]原始碼檢測x弱點修補X驗證攻擊-Cross site scripting 說明 XSS 的弱點了。

大概簡單描述一下:
XSS 是常見的網頁漏洞之一,要預防可在 HTTP Header 加入 Content Security Policies(CSP)。
Google 日前推出新工具,管理員可檢驗網站的 CSP 成效,確保不會因設定不當而失去保護。

Google 推出了 CSP Evaluator ,管理員把網址貼上便可檢驗 CSP 的成效;此外亦有 Chrome 瀏覽器插件 CSP Mitigator 。

[CSP]https://csp-evaluator.withgoogle.com/

XSS 一直是網站常見的漏洞,Google 稱,過去兩年他們已就研究人員回報 Google 網頁的 XSS 漏洞頒發 120 萬美元獎金。

使用 CSP 是預防 XSS 的方法之一,然而 Google 表示,10 億個域名之中 95% 的 CSP 未能有效預防 XSS。其中一個根本原因是,15 個最多人用作載入外部 script 而加入白名單的域名之中,有 14 個都可讓攻擊者繞過 CSP 。
//就是還是有弱點可以繞過的意思,但還是能擋掉較部份可疑的攻擊

資訊來源:https://security.googleblog.com/2016/09/reshaping-web-defenses-with-strict.html


上一篇
[Day14]滲透測試x驗證工具xsqlmap
下一篇
[資安活動]The WarGame白帽菁英入門(三)實作推廣課程
系列文
資安x系統x絕對領域47
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
Kathy Lai
iT邦新手 5 級 ‧ 2016-12-21 10:52:41

發現基於虎虎的文章再延伸,可以學到好多東西~!

虎虎 iT邦研究生 4 級 ‧ 2016-12-21 13:10:23 檢舉

謝謝妳 >///<
最近報告好多嗚嗚,所以只能暫時先貼這種小工具出來騙天數((心虛 =v=+

Kathy Lai iT邦新手 5 級 ‧ 2016-12-21 16:39:00 檢舉

哪有騙天數~明明就很好呀!

虎虎 iT邦研究生 4 級 ‧ 2016-12-21 23:41:11 檢舉

哈哈哈哈哈!!!!!送啦!!!!!

0
annis
iT邦新手 5 級 ‧ 2016-12-21 14:34:59

哇撐到15天了耶
了不起!

虎虎 iT邦研究生 4 級 ‧ 2016-12-21 23:41:34 檢舉

一起加油!!!!!

0
虎虎
iT邦研究生 4 級 ‧ 2017-02-20 17:58:37

補上爭議來源:http://ithelp.ithome.com.tw/questions/10185359
補上資料來源:https://unwire.pro/2016/10/01/google-csp-evaluator-prevent-xss/news/

我要留言

立即登入留言