XS.

跨站脚本(XSS)是一种非常常见的漏洞,它允许恶意参与者在用户的浏览器中执行恶意的客户端脚本。这种客户端脚本执行可能导致网站被破坏和用户数据被盗,例如存储在cookie中的应用程序授权令牌。

tCell的应用程序防火墙监控XSS攻击企图,并可用于阻止攻击者。浏览器代理监视用户浏览器的DOM以防止成功的XSS攻击,tCell使用CSP来防止这些攻击可能导致的数据丢失(和其他损害)。tCell还将XSS事件通知组织中的指定人员,并为他们提供必要的详细信息,以快速解决该漏洞。

它是什么?

当恶意actor将客户端脚本和/或html注入网页时,发生xss攻击以由另一个用户的Web浏览器执行。有三种常见类型的XSS攻击:反射,持久和基于DOM。

  • 反映的XSS攻击需要一个用户操作,该用户操作包含该脚本的每次执行的恶意脚本。
  • 持久性XSS攻击包括永久性地将恶意脚本添加到易受攻击的页面,并在每次用户访问该页面时加载该脚本。
  • 在浏览器中发生基于DOM的XSS攻击,通常通过URI片段中的恶意值传递,并且不涉及Web服务器。

如果成功的话,最常见的XSS攻击之一允许恶意演员窃取存储在cookie中的用户的应用程序授权令牌,然后将应用程序访问应用程序。演员将假设用户的特权并且能够作为该用户行动,只要特定操作不需要额外的安全验证,例如双因素密钥或密码。

避免易受XSS的安全性最佳做法是通过使用各种字符编码技术和始终验证输入来超越某些字符。OWASP的XSS预防表单是一个很好的资源,了解如何通过最佳编码实践来预防XS的基础知识。

恶意演员如何找到漏洞?

最常见的是,恶意的actor会使用应用程序安全扫描仪扫描应用程序的跨站漏洞。参与者还将花费时间在URL、头和主体中手动发现应用程序的所有参数,然后修改它们,使用比安全扫描器更复杂的技术来测试XSS漏洞。

tCell如何防止XSS攻击

TCELL以三种方式保护XSS攻击。

TCell在应用程序或Web服务器中运行的应用程序防火墙可以检测用于发现或锻炼XSS漏洞的请求。这与可疑的演员功能涉及防止攻击者继续。

内容安全策略(CSP)可用于阻止加载外部资源,以防止涉及从其他域中加载JavaScript的攻击(直接运行或直线运行)。此外,如果Web Web应用程序不需要使用内联脚本,CSP可以完全禁用在浏览器中的内联脚本的支持,为此攻击提供了强烈的保护。

tCell还提供了一个JavaScript代理或Jsagent.它监视用户浏览器的DOM,以检测所有内联脚本,并报告任何不允许列为良性的脚本。此外,tCell服务可以确定意外脚本是否可能表示攻击,并将它们标记为可疑攻击,在新闻提要中生成事件,并向配置的警报目标(如电子邮件或Slack)发出警报。

CSP

内容安全策略(CSP)是一个行业标准的安全层,由W3C驱动,这减轻了许多类型的内容注入攻击的风险。CSP的主要重点是防止跨站点脚本(XS)和脚本注入攻击通过AllowList方法。TCell为您提供了通过高级工具设置,监视和强制执行CSP的工具。

CSP在tCell

tCell通过监视(收集CSP违规报告)和前期配置来帮助配置CSP。tCell控制台允许您通过策略编辑器创建和配置CSP,同时在仪表板上监视应用程序。读了CSP配置指南为更多的细节。

JS代理

对于内联脚本保护,TCell提供了一个JS代理,用于检测浏览器DOM中存在的意外脚本。我们通过自动将脚本插入应用程序的每个页面的标题来完成此操作。这允许TCell查看所有执行的脚本并确定哪些脚本是XSS攻击。默认CSP配置允许内联脚本执行。JS代理可以检测和报告CSP未涵盖的恶意DOM活动。

内联脚本事件将出现在内联脚本(XSS)视图下事件菜单。您可以通过Inline scripts事件视图或下的整体策略编辑器视图将预期的脚本添加到策略中政策> JSAgent.读了JS代理配置指南为更多的细节。