Cross-Site Scripting X-XSS-beskyttelse Deaktivert Av Feil I Microsoft Edge

2023 Forfatter: Kayla Nelson | [email protected]. Sist endret: 2023-07-30 23:17

X-XSS-beskyttelsesfunksjonen i Microsoft Edge-nettleseren har vært på plass for å forhindre skriptangrep på tvers av nettsteder på systemet siden introduksjonen i 2008. Selv om noen i teknologibransjen, som utviklerne av MozillFirefox og flere analytikere, har kritisert denne funksjonen med Mozill som nekter å innlemme den i nettleseren, og vender bort håpet om mer integrert kryssurfaringsopplevelse, Google Chrome og Microsofts egen Internet Explorer har holdt denne funksjonen i gang, og ingen uttalelser har kommet fra Microsoft ennå som indikerer noe annet. Siden 2015 har Microsoft Edge X-XSS Protection Filter blitt konfigurert på en slik måte at det filtrerer slike kodeovergangsforsøk på websider, uavhengig av om X-XSS-skriptet er aktivert eller ikke, men det ser ut til at funksjonen som var en gang på som standard er oppdaget av Gareth Heyes fra PortSwigger for nå å være deaktivert i Microsoft Edge-nettleseren, noe han anser å skyldes feil da Microsoft ikke har kommet frem og hevder ansvaret for denne endringen.

I det binære språket for av og på skript, hvis nettleseren er vert for overskrift som gjengir "X-XSS-beskyttelse: 0", vil skriptsikkerhetsmekanismen på tvers av nettstedet bli deaktivert. Hvis verdien er satt til 1, blir den aktivert. tredje uttalelse av “X-XSS-beskyttelse: 1; mode = block”blokkerer websiden helt fra å komme fremover. Heyes oppdaget at selv om verdien skal være satt til 1 som standard, ser det ut til at den nå er satt til 0 i Microsoft Edge-nettlesere. Dette ser ikke ut til å være tilfelle i Microsofts Internet Explorer-nettleser. Forsøk på å reversere denne innstillingen, hvis brukeren setter skriptet til 1, går det tilbake til 0 og funksjonen forblir av. Siden Microsoft ikke har kommet frem om denne funksjonen, og Internet Explorer fortsetter å støtte den, kan det konkluderes med at dette er et resultat av feil i nettleseren som vi forventer at Microsoft løser i neste oppdatering.

Skriptangrep på tvers av nettsteder oppstår når pålitelig webside overfører ondsinnet sideskript til brukeren. Siden nettsiden er klarert, blir ikke innholdet på siden filtrert for å sikre at slike ondsinnede filer ikke kommer frem. Den prinsipielle måten å forhindre dette på er å sikre at HTTP TRACE er deaktivert i nettleseren for alle websider. Hvis hacker har lagret ondsinnet fil på websiden, når brukeren får tilgang til den, kjøres HTTP Trace-kommandoen for å stjele brukerens informasjonskapsler som hackeren i sin tur kan bruke for å få tilgang til brukerens informasjon og potensielt hacke hans eller hennes enhet. For å forhindre dette i nettleseren ble X-XSS-Protection-funksjonen introdusert, men analytikere hevder at slike angrep er i stand til å utnytte selve filteret for å få den informasjonen de leter etter. Til tross for det har imidlertid mange nettlesere opprettholdt dette skriptet som første forsvarslinje for å forhindre de mest grunnleggende typene XSS-phishing og har innarbeidet høyere sikkerhetsdefinisjoner for å lappe eventuelle sårbarheter som selve filteret utgjør.