谷歌推出XS-Leaks维基,旨在帮助安全社区理解和防御跨站泄漏(XS-Leaks)攻击。这些攻击利用Web平台的固有行为,可能导致用户信息泄露。维基包含了各种跨站泄漏的原理、缓解技术和PoC代码,同时介绍了浏览器的防御机制,如FetchMetadataRequestHeaders等。谷歌鼓励研究员贡献更多攻击和防御技术的信息。
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
本周,谷歌宣布发布关于 XSS 漏洞的信息知识库 XS-Leaks。
谷歌表示,XSS 漏洞产生的根因使现代 Web 应用你滥用长期存在的 Web 平台行为,从而导致网站泄露用户信息或者泄露用户输入其它 Web 应用中的信息。
由于XS-Leaks 漏洞大开攻击之门而全面防御措施的部署非常复杂,因此对于安全工程师和 Web 浏览器开发人员而言颇具挑战性。
XS-Leaks 维基旨在帮助安全社区更好地理解这些问题并改进防御措施。实际上,谷歌已经邀请安全研究员帮助扩展该维基并共享关于新型攻击活动和防御措施的详情。
XS-Leaks 维基网址为 xsleaks.dev,它提供了关于导致跨站泄漏原则的信息,包括关于每种跨站泄漏及其含义和缓解技术的段文章,以及演示 PoC 代码。它的另一个作用是帮助 Web 开发人员理解浏览器中的防御机制如何使得应用程序免受跨站点泄漏影响。
谷歌解释称,“维基中描述的每种攻击都配有可阻止或缓解它的安全功能概览;该维基旨在提供协助开发人员采用新型浏览器安全功能如 Fetch Metadata Request Headers(提取元数据请求标头)、Cross-Origin Opener Policy(跨源开放策略)、Cross-Origin Resource Policy(跨源资源策略)和 SameSite cookie 等的可行指南。”
谷歌提倡安全社区助力扩展 XSS-Leaks 维基,补充关于攻防技术详情,表示该网站可能推动关于缓解重大 Web 安全威胁的研究工作。
推荐阅读
原文链接
https://www.securityweek.com/google-launches-xs-leaks-vulnerability-knowledge-base
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
2390
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
