CSP Evaluator
Google представила два инструмента для борьбы с XSS-уязвимостями
За последние два года компания Google потратила 1,2 миллиона долларов на вознаграждения исследователям, которые обнаруживали уязвимости cross-site scripting (XSS). Так как «проблему XSS» такими методами определенно не решить, специалисты Google решили пойти другим путем.
Инструмент CSP Evaluator, представленный как в виде самостоятельного сканера
csp-evaluator.withgoogle.com/
так и в виде расширения для Chrome
chrome.google.com/webstore/detail/csp-evaluator/fjohamlofnakbnbfjkohkbdigoodcejf
Также Google рекомендует разработчикам и администраторам присмотреться к политикам, завязанным на nonce, инструмент CSP Mitigator
chrome.google.com/webstore/detail/csp-mitigator/gijlobangojajlbodabkpjpheeeokhfa
Оба инструмента изначально были созданы Google для внутреннего использования и тестирования, поэтому они применялись для настройки CSP в Google Cloud Console, Google Photos, Google MyAccount History, Google Careers Search, Google Maps Timeline и Google’s Cultural Institute.
xakep.ru/2016/09/28/csp-tools/
security.googleblog.com/2016/09/reshaping-web-defenses-with-strict.html
За последние два года компания Google потратила 1,2 миллиона долларов на вознаграждения исследователям, которые обнаруживали уязвимости cross-site scripting (XSS). Так как «проблему XSS» такими методами определенно не решить, специалисты Google решили пойти другим путем.
Инструмент CSP Evaluator, представленный как в виде самостоятельного сканера
csp-evaluator.withgoogle.com/
так и в виде расширения для Chrome
chrome.google.com/webstore/detail/csp-evaluator/fjohamlofnakbnbfjkohkbdigoodcejf
Также Google рекомендует разработчикам и администраторам присмотреться к политикам, завязанным на nonce, инструмент CSP Mitigator
chrome.google.com/webstore/detail/csp-mitigator/gijlobangojajlbodabkpjpheeeokhfa
Оба инструмента изначально были созданы Google для внутреннего использования и тестирования, поэтому они применялись для настройки CSP в Google Cloud Console, Google Photos, Google MyAccount History, Google Careers Search, Google Maps Timeline и Google’s Cultural Institute.
xakep.ru/2016/09/28/csp-tools/
security.googleblog.com/2016/09/reshaping-web-defenses-with-strict.html
0 комментариев
Вставка изображения
Сказать что-нибудь