Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google déploie deux extensions Chrome pour aider les webmasters à identifier les faiblesses exploitées
Pour lancer des attaques XSS

Le , par Stéphane le calme

89PARTAGES

6  0 
Google a publié CSP Evaluator et CSP Mitigator, deux nouveaux outils pour aider les chercheurs de sécurité à identifier les faiblesses qui sont souvent exploitées pour lancer des attaques XSS. Ces deux outils se basent sur le CSP (Content Security Policy), un mécanisme de sécurité permettant de restreindre l'origine du contenu (tel qu'un script Javascript, une feuille de style etc.) dans une page web à certains sites autorisés afin de mieux se prémunir d'une éventuelle faille XSS. Lorsque des pirates cherchent des moyens d’injecter du code HTML dans une application vulnérable, ils ne sont pas en mesure de charger le script malveillant étant donné que le CSP va interdire l’exécution de ces charges au niveau du navigateur.

Pourtant, malgré les avantages que peut procurer ce mécanisme de sécurité, Google soutient que 95 % du milliard de domaines qu’il a analysé au cours d’une récente étude a mal déployé son mécanisme CSP, ce qui laissait la possibilité aux attaquants de contourner le CSP afin de lancer leurs attaques XSS.

En lançant CSP Evaluator, sous la forme d'un scanner de site web autonome mais également sous la forme d’une extension Chrome, Google espère que les webmasters seront en mesure de tester leurs configurations CSP afin d'améliorer les fonctionnalités de protection contre les attaques XSS de leur site Web.


Google recommande également aux webmasters de vérifier leurs configurations CSP en se servant de token temporaire. C’est ici qu’intervient la seconde extension CSP Mitigator qui permet au webmaster d’appliquer une configuration CSP personnalisée à leur application. Cet outil permet d’identifier les parties de votre application qui ne sont pas compatibles avec votre configuration CSP et vous aide à faire les changements nécessaires avant un déploiement.

Google a indiqué que les deux extensions ont été utilisées en interne dans la mise en place des configurations CSP de divers services Google, tels que Google Cloud Console, Google Photos, Google MyAccount History, Google Careers Search, Google Maps Timeline et Google Cultural Institute.

CSP Mitigator

CSP Evaluator (extension)

CSP Evaluator (scanner)

Source : Google

Voir aussi :

le forum sécurité web ; la rubrique développement web ; cours et tutoriels développement web ; FAQ développement web

Une erreur dans cette actualité ? Signalez-le nous !