Статистичне підтвердження XSS-фільтра IE8

Вітаю, мене звати Русс макро (Russ McRee) і я є співробітником команди Online Services Security & Compliance Incident Management. Моя команда обслуговує обробники випадків різних типів атак, з якими стикаються наші сервіси. Перші рядки в цьому списку займають атаки з використанням міжсайтового скриптинга.

Існує думка, що XSS-атаки менш ефективні, ніж інші типи атак, тому реалізуються вони частіше теоріческі, ніж практично. І я вважаю, що дане упередження тільки збільшує ступінь ризику, яким піддаються інтернет користувачі. Я хотів би поділитися з вами деякою інформацією, яка б показала, чому я вважаю впровадження XSS-фільтра в Internet Explorer настільки істотним.

Web Application Security Consortium (WASC) нещодавно опубліковл результати дослідження Web Application Security Statistics Project 2007. Дані, представлені в даному звіті, є доповненням до статистики, яку я наводив у статті The Anatomy of an XSS Attack в журналі ISSA Journal від червня 2008 року.

Деякі витяги з дослідження WASC:


Додаткова статистика:


Статистика завжди може бути використана для того, щоб довести свою точку зору, але самі розумієте, що більш важливі дії, які приймаються для вирішення проблеми. Так як кількість XSS-вразливостей зростає в геометричній прогресії, то XSS-фільтр у IE8, покликаний захистити користувачів від цього типу атак, є відмінним рішенням.

Девід Росс (David Ross), інженер з безпеки програмного забезпечення в команді SWI, розробив інструмент, який виявляє ймовірні XSS-атаки в міжсайтових запитах, ідентифікує і нейтралізує атаку, якщо вона здійснюється у відповідь на запит сервера. Користувачеві не задаються питання, на які він не може відповісти – IE просто блокує шкідливий скрипт від виконання.

Простіше кажучи, XSS-фільтр у IE8 покликаний забезпечити глибоку захист шляхом автоматичного виявлення і запобігання найбільш поширених XSS-атак, з якими користувачі стикаються на просторах Інтернету, без втрати продуктивності або сумісності.

Якщо звертатися до статистики, яка наведена вище, то це 70% можливих загроз, з якими можуть зіткнутися користувачі IE8, і запобігти XSS Filter. Я дійсно збуджений тією роботою, яку роблять команди Internet Explorer і SWI, щоб надати новий рівень безпеки для користувачів.

Русс макро (Russ McRee),
розробник групи Online Services Security & Compliance Incident Management в команді Internet Explorer

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*