¿Se puede detener el enlace de BeEF con las políticas de seguridad de contenido?

5

Sé que usar valores estrictos para default-src y scripts-src es una forma popular de prevenir (o al menos limitar el impacto) de ataques XSS. Pero me preguntaba si los CSP se pueden usar para evitar que los atacantes / pentestes enganchen a los navegadores utilizando el marco de BeEF.

    
pregunta JohnnyHunter 08.04.2018 - 00:36
fuente

1 respuesta

2

Sí. El gancho de carne es solo una carga útil avanzada para un ataque XSS que se basa en la etiqueta script-src. Si tiene una Política de seguridad de contenido saludable, el navegador de las víctimas se negará a cargar el gancho externo.

CSP es una línea de defensa secundaria en caso de que tenga una vulnerabilidad de inyección de HTML.

    
respondido por el Dog eat cat world 08.04.2018 - 10:03
fuente

Lea otras preguntas en las etiquetas