¿Protege Google Chrome contra los scripts entre sitios (XSS)?

13

En Firefox he estado usando la extensión NoScript para protegerme de ciertos tipos de ataques de malware. NoScript es bien conocido como una extensión muy poderosa para Firefox e introdujo protección contra ataques XSS y clickjacking desde el '07.

He estado buscando una protección similar en Chrome, pero lo mejor que encontré fue ScriptNo que no mencione específicamente este tipo de protección (solo menciona XML de dominio cruzado).

¿Protege Google Chrome contra los scripts entre sitios (XSS)? (por ejemplo, ¿se logra esto de forma pasiva a través del sandboxing?)

    
pregunta kalina 19.06.2012 - 21:26
fuente

1 respuesta

14

Chrome tiene protección predeterminada contra ataques Reflective XSS. Este no es un defecto que el sandboxing pueda solucionar. Este sistema de protección funciona al buscar solicitudes salientes de javascript y evitar que ese javascript se ejecute en la respuesta http. Ningún navegador evitará DOM Based XSS o Stored XSS.

La protección de Chrome es la más débil en comparación con las demás. El filtro xss de IE no es muy bueno , pero es ligeramente mejor que el de Chrome . De mi investigación creo que el NoScript es el mejor con diferencia. He omitido el filtro XSS de NoScript al explotar la insensibilidad del contenido, y resolvieron el problema rápidamente. Chrome e IE aún sufren ataques de insensibilidad de contenido.

Microsoft dice que los ataques de insensibilidad de contenido contra IE "no son una vulnerabilidad" y nunca solucionarán estos problemas. Chrome ha tenido un informe de errores abierto para este problema y no he visto actividad durante aproximadamente 6 meses. Así que Chrome podría arreglarlo eventualmente, quizás . Para ser honestos, ambos son respuestas horribles de los proveedores. En general, encuentro que NoScript y Mozilla tienen las respuestas más firmes a las vulnerabilidades en su software y como investigador de seguridad ¡es un placer trabajar con ellos!

    
respondido por el rook 19.06.2012 - 22:04
fuente

Lea otras preguntas en las etiquetas