产业气象站|【网络安全】Chrome浏览器存在安全漏洞
谷歌的Chrome浏览器中存在安全漏洞 , 攻击者可利用该漏洞绕过网络的内容安全策略(CSP) , 进而窃取用户数据并执行流氓代码 。
文章图片
PerimeterX网络安全研究人员GalWeizman表示 , 该漏洞编号为CVE-2020-6519 , 存在于Windows、Mac和安卓的Chrome、Opera和Edge浏览器中 , 潜在影响用户多达十亿 。 其中 , Chrome的73版本(2019年3月)到83版本均会受到影响 , 84版本已在7月发布 , 并修复了该漏洞 。 Chrome浏览器拥有超过20亿用户 , 并且占浏览器市场的65%以上 。
CSP是一种Web标准 , 旨在阻止某些攻击 , 比如跨站点脚本(XSS)和数据注入攻击 。 CSP允许Web管理员指定浏览器将其视为可执行脚本的有效源的域 。 然后 , 与CSP兼容的浏览器将仅执行从这些域接收的源文件中加载的脚本 。
对此 , Weizman在报告中表示:“CSP是网站所有者用来执行数据安全策略以防止在其网站上执行恶意影子代码的主要方法 , 因此当绕过浏览器执行时 , 个人用户数据将面临风险 。 ”
目前 , 大多数网络均使用CSP策略 , 比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、WellsFargo和Zoom等互联网巨头 。 当然 , 也有如GitHub、GooglePlay商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不会受此次漏洞的影响 。
Chrome的CSP强制执行机制中存在漏洞并不直接表示网站已被破坏 , 因为攻击者还需要设法从该网站获取恶意脚本 。 网站信任的安全机制存在漏洞 , 安全机制原本可以对第三方脚本执行更严格的策略 , 但是因为漏洞会让网站认为他们是安全的而允许他们通过 。
攻击者利用该漏洞获取Web服务器权限(通过暴破密码或者其他方式)并修改JavaScript利用代码 。 在JavaScipt中增加frame- src或者child- src指令 , 攻击者利用这种方式绕过CSP策略执行、绕过网站安全规则 。
经验证后 , 该漏洞的威胁程度为中等(6.5分) , 然而 , 因为该漏洞涉及CSP策略执行 , 所以影响很广 。 网站开发人员允许第三方脚本修改支付页面 , 比如知道CSP会限制敏感信息 , 所以破坏或者绕过CSP , 便可以窃取用户敏感信息比如支付密码等 。 这无疑给网站用户的信息安全带来很大的风险 。
该漏洞在Chrome浏览器中存在超过一年了 , 目前该漏洞已经修复 。 但是该漏洞的后续影响尚不明确 , 一旦遭到利用 , 用户数据遭窃取用于非法途径 , 后果将不堪设想 。
在报告中还可以看到安全研究人员测试浏览器或者网站是否容易受到该漏洞影响的过程 , 创建一个简单的脚本 , 当通过devtools控制台执行该脚本时 , 可以测试所有这些网站 , 该脚本将立即通知当前的浏览器/网站是否由于CSP/OldChrome配置错误而受到CVE-2020-6519的攻击 。 尝试从https://pastebin.com/raw/XpHsfXJQ正常加载外部js脚本 , 并加载漏洞利用程序 。 以下以测试后的三种结果:浏览器和网站容易受到攻击
浏览器易受攻击 , 但网站不易受攻击
文章图片
浏览器不容易受到攻击
文章图片
因此 , 用户可从以下几个方面做好安全防护措施:
1.确保CSP策略定义正确 。 考虑添加其他安全性层 , 例如nonces或hashs , 这将需要在一些服务器端实现
2.仅CSP对大多数网站而言还不够 , 因此 , 请考虑添加其他安全层 。 考虑基于JavaScript的影子代码检测和监视 , 以实时缓解网页代码注入
3.确保Chrome浏览器版本为84或更高版本 。
来源:网络安全宝典
【来源:绥滨宣传】
推荐阅读
- 辉常观察|产业互联网:区块链与数字货币的分水岭,原创
- 精选热点资讯|服务江西产业发展,晏斌:围绕直播大赛
- 爱集微|投向智能制造/人工智能等领域,欣旺达子公司参与设立产业基金
- 产业气象站|华为新款移动路由双网双通在线,告别断网烦恼,手机一碰就能上网
- 中国蓝新闻|“薅羊毛”入刑越城法院一审宣判,坚决斩断灰色产业链
- 上游新闻|智博会上将签约GPP芯片生产项目,关注智博会|30多家电子产业企业构建梁平电子信息产业链
- 北京商报网|2020中国电信5G产业创新联盟北京站启动
- 家族战队|就读懂了湖南互联网产业,读懂了这些话
- 52未来社区|中国全面支持的半导体产业会怎么样?,新导航芯片领先GPS
- c114通信网|深度解读:2020年光电子产业将迎难而上