За последние два года компания Google потратила 1,2 миллиона долларов на вознаграждения исследователям, которые обнаруживали уязвимости cross-site scripting (XSS). Так как «проблему XSS» такими методами определенно не решить, специалисты Google решили пойти другим путем.

В наши дни браузеры регулярно внедряют новые технологии для обеспечения безопасности пользователей. Одна из них — Content Security Policy (CSP), позволяющая разработчикам сайтов четко объяснить браузеру, на какие адреса тот может выполнять межсайтовые запросы, что позволяет защищаться от атак с внедрением контента, в том числе XSS. Как не трудно догадаться, глядя на названия, оба представленных компанией инструмента вращаются именно вокруг CSP.

Разработчики Google пишут, что на данный момент 95% доменов используют CSP неправильно. Такой вывод специалисты сделали после проведения собственного исследования, для которого они просканировали и изучили 1,6 млрд доменов. Неверная настройка позволяет обходить защиту CSP, загружать скрипты и инициировать XSS-атаку.

«Гибкость CSP приводит к возникновению серьезных проблем. Очень легко настроить политики, которые, казалось бы, работают, но на самом деле они не приносят никакой пользы безопасности», — пишут разработчики Google.

Инструмент CSP Evaluator, представленный как в виде самостоятельного сканера, так и в виде расширения для Chrome, должен помочь системным администраторам разобраться с этой проблемой. CSP Evaluator позволяет проверить настройку политик CSP и улучшить защиту сайта от XSS-атак.

Также Google рекомендует разработчикам и администраторам присмотреться к политикам, завязанным на nonce. Инструмент CSP Mitigator, тоже выпущенный в виде расширения для Chrome, был создан именно для этого. В частности, он способен находить скрипты, которые не имеют корректного nonce-артибута.

Оба инструмента изначально были созданы Google для внутреннего использования и тестирования, поэтому они применялись для настройки CSP в Google Cloud Console, Google Photos, Google MyAccount History, Google Careers Search, Google Maps Timeline и Google’s Cultural Institute.

Оставить мнение