Google Chrome扫瞄器漏洞使DDoS高防数十亿用户遭受数据被盗风险-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Google Chrome扫瞄器漏洞使DDoS高防数十亿用户遭受数据被盗风险

Google Chrome扫瞄器漏洞使DDoS高防数十亿用户遭受数据被盗风险

小墨安全管家 2020-08-12 00:59 CC防护 89 ℃
DDoS防御

所以,用户可从以下几个方面做好安全防护措施:

目前,大多数网络均使用CSP策略,比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo和Zoom等互联网巨头。固然,也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不大概受此次漏洞的阻碍。

PerimeterX网络安全研究人员Gal Weizman表示,该漏洞编号为CVE-2020-6519,存在于Windows、Mac和安卓的Chrome、Opera和Edge扫瞄器中,潜在阻碍用户多达十亿。其中,Chrome的73版本(2019年3月)到83版本均会受到阻碍,84版本已在7月公布,并修复了该漏洞。Chrome扫瞄器拥有超过20亿用户,同时占扫瞄器市场的65%以上。

仅CSP对大多数网站而言还不够,所以,请思量添加其他安全层。思量基于JavaScript的影子代码检测和监视,以实时缓解网页代码注入

确保CSP策略定义正确。思量添加其他安全性层,例如nonces或hashs,这将需要在一些服务器端实现

Google Chrome浏览器漏洞使DDoS高防数十亿用户遭受数据被盗风险

(2) 扫瞄器易受攻击,但网站不易受攻击::

CSP是一种Web标准,旨在阻挠某些攻击,比如跨站点足本(XSS)和数据注入攻击。CSP允许Web治理员指定扫瞄器将其视为可执行足本的有效源的域。接着,与CSP兼容的扫瞄器将仅执行从这些域接收的源文件中加载的足本。

攻击者利用该漏洞猎取Web服务器权限(经过暴破密码或者其他方式)并修改JavaScript利用代码。在JavaScipt中增加 frame-src或者child-src指令,攻击者利用这种方式饶过CSP策略执行、绕过网站安全规则。

经验证后,该漏洞的威胁程度为中等(6.5分),可是,因为该漏洞涉及CSP策略执行,于是阻碍特别广。网站开辟人员允许第三方足本修改支付页面,比如懂CSP会限制敏感信息,于是破坏或者绕过CSP,便能够窃取用户敏感信息比如支付密码等。这无疑给网站用户的信息安全带来特别大的风险。

Google Chrome浏览器漏洞使DDoS高防数十亿用户遭受数据被盗风险

该漏洞在Chrome扫瞄器中存在超过一年了,目前该漏洞基本修复。然而该漏洞的后续阻碍尚不明确,一旦遭到利用,用户数据遭窃取用于非法途径,后果将不堪设想。

在报告中还能够看到安全研究人员测试扫瞄器或者网站是否容易受到该漏洞阻碍的过程,创建一具简单的足本,当经过devtools操纵台执行该足本时,能够测试所有这些网站,该足本将即将通知当前的扫瞄器/网站是否由于CSP/Old Chrome配置错误而受到CVE-2020-6519的攻击。尝试从https://pastebin.com/raw/XpHsfXJQ正常加载外部js足本,并加载漏洞利用程序。以下以测试后的三种结果:

确保Chrome扫瞄器版本为84或更高版本。

(3) 扫瞄器不容易受到攻击::

(1) 扫瞄器和网站容易受到攻击:

对此,Weizman在报告中表示:“CSP是网站所有者用来执行数据安全策略以防止在其网站上执行恶意影子代码的要紧想法,所以当绕过扫瞄器执行时,个人用户数据将面临风险。”

Chrome的CSP强制执行机制中存在漏洞并不直截了当表示网站已被破坏,因为攻击者还需要设法从该网站猎取恶意足本。网站信任的安全机制存在漏洞,安全机制原本能够对第三方足本执行更严格的策略,然而因为漏洞会让网站以为他们是安全的而允许他们经过。

谷歌的Chrome扫瞄器中存在安全漏洞,攻击者可利用该漏洞绕过网络的内容安全策略(CSP),进而窃取用户数据并执行流氓代码。


DDoS防御

当前位置:主页 > CC防护 > Google Chrome扫瞄器漏洞使DDoS高防数十亿用户遭受数据被盗风险

  • 上一篇:没有了
  • 上一篇:没有了
标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119