وسيلة الحماية من هجمات XSS على Internet Explorer 8 غير آمنة

الوقت المقدّر لقراءة هذا المقال: 1 دقيقة و 43 ثانية

وسيلة الحماية من هجمات XSS على  Internet Explorer 8  غير آمنة

أعلنت مطور إضافة Noscript الخاصة بمتصفح Firefox عن أن الحماية المستعملة ضد هجمات XSS في المتصفح Internet Explorer 8 غير آمنة بل خطيرة.

حسب Giorgio Maone و الذي لم يكشف بعد عن تفاصيل الأمر أن الأمر برمته مبني على خطأ في التصميم الأساسي مما يتوجب إعادة النظر في التصميم.

و يضيف Maone أن نظام الحماية من هجمات XSS في المتصفح Internet Explorer 8 على خلاف مع الإضافة Noscript فإنه يقوم بتحليل إجابات الخوادم و ليس طلبات المستخدمين ، مما يمكن للمهاجمين من التلاعب في إجابات الخوادم و حقن شيفرة معينة لتنفيذها.

لكن حسب Maone فإنه يجب على المهاجم أن يملك بعضا من الصلاحيات على الصفحات التي تتم زيارتها، و هذا الأمر ممكن حاليا في كل من صفحات الشبكات الاجتماعية و المنتديات و الـ wikis  و حتى  Google Apps .

لكن حسب مكتشف الثغرة فإن الظاهر أن  Google على علم بالثغرة إذ أنها تقوم بتعطيل تلك الحماية بإرسال الترويسة  X-XSS-Protection: 0 مما يجعل من استغلال الثغرة أمرا غير ممكن.

المصدر:

http://hackademix.net/2009/11/21/ies-xss-filter-creates-xss-vulnerabilities/


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

مبرمج جزائري، مهتم بمجال تطوير الويب. يُحرر كلا من المجلة التقنية ، مدونة الإعلام الاجتماعي ومدونة دروس الويب.

تابع الكاتب على:
Twitter +Google