211service.com
En plan för att stoppa webbläsattacker
I takt med att användargenererat innehåll har blivit mer populärt på nätet, har webbplatser alltmer tillåtit användare att anpassa till exempel sina bloggkommentarer eller inlägg till webbplatser för sociala nätverk med HTML-kod. Detta öppnar dock också webbplatser för risken för en typ av attack som kallas cross-site scripting, vilket kan tillåta angripare att stjäla information från användare via en betrodd webbplats.
Nästa vecka, kl IEEE Symposium om säkerhet och integritet , i Oakland, CA, forskare från University of Illinois i Chicago kommer att presentera ett nytt sätt att försvara sig mot cross-site scripting. Tillvägagångssättet låter en webbplats kontrollera hur användargenererat innehåll överförs till en webbläsare, vilket potentiellt neutraliserar cross-site scripting attacker innan de når det avsedda offret.
Skript mellan webbplatser innebär att få en användares webbläsare att köra ett obehörigt skript som injiceras någonstans på sidorna på en till synes pålitlig webbplats. Skriptet kan låta en angripare stjäla en användares inloggningsuppgifter eller annan känslig information.
Skript mellan webbplatser är den vanligaste sårbarheten på Internet, säger man Jeremiah Grossman , grundare och teknisk chef för White Hat Security , som inte var involverad i forskningen. Det är en slags kackerlacka där ute i branschen. Grossman säger att nyare webbplatser är bättre rustade att försvara sig mot cross-site scripting, men det finns fortfarande miljontals sårbara webbplatser på Internet. Vi behöver alternativ till att fixa koden, säger han.
Forskare från University of Illinois utvecklade ett lager av programvara – kallad Blueprint – som webbutvecklare kan infoga mellan användargenererade sidor och webbläsaren. Forskarna designade Blueprint för att fungera med åtta stora webbläsare, som utgör mer än 96 procent av nuvarande marknadsandel, och testade systemet mot 94 typer av cross-site scripting-attacker hämtade från ett internetförråd som heter XSS Cheat Sheet. De fann att det framgångsrikt förhindrade varje attack på listan.
Blueprint sitter på en webbplatss servrar, läser användargenererad HTML och kontrollerar den mot en vit lista med betrodd kod. Den tar bort alla potentiellt skadliga skript och bestämmer hur innehållet ska visas i en webbläsare. Sedan formaterar den om informationen och överför den till webbläsaren. Blueprint ser till att till exempel undvika tecken och symboler som ibland används för att skicka obehöriga skriptsignaler till en användares webbläsare. Icke-skadligt innehåll bör göra det opåverkat genom processen, säger forskarna.
Roten till problemet, förklarar V. N. Venkatakrishnan , en biträdande professor i datavetenskap som var involverad i projektet, är att webbläsare ursprungligen utformades för att vara förlåtande mot dåligt skriven webbsidakod. Webbläsare försöker göra bästa möjliga rendering av alla typer av dåligt formaterat innehåll, säger han.
Genom åren har olika webbläsare utvecklat sina egna sätt att tolka dåligt formaterat innehåll. Angripare kan dra fördel av detta genom att infoga HTML som kommer att köras som ett skript i rätt webbläsare. Detta gör problemet med att filtrera HTML-innehåll för skript mycket, väldigt utmanande, säger Venkatakrishnan. Arbete pågår för att förändra hur webbläsare fungerar, men forskarna säger att det behövs en annan lösning under tiden.
Vad vi vill göra är att ta bort möjligheten för webbläsarens parser att fatta eventuella skriptidentifieringsbeslut på det opålitliga innehållet som tillhandahålls av webbapplikationen, säger Venkatakrishnan.
Robert Hansen , VD och grundare av Internetsäkerhetsföretaget SecTheory, som underhåller XSS Cheat Sheet, säger att även om Blueprint skyddar mot de flesta större skripthot över flera webbplatser, täcker det inte alla möjliga hot. Det finns andra sätt att få saker renderade i en webbläsare, och tyvärr täcker detta inte någon av dessa, säger han.
Hansen tillägger att forskarnas system skyddar innehåll genom att linda in det i ett skript som sökmotorer inte kan läsa. Det här är inget universalmedel, säger han, men det är det stora problemet. Hansen säger att cross-site scripting är ett för komplext problem för att stoppas utan att ändra hur webbläsaren fungerar.