Los ataques XSS, Cross-site scripting, son un tipo de ataques informáticos que se aprovechan de una mala configuración en las políticas de seguridad de páginas y aplicaciones web mediante la cual el atacante puede inyectar código JavaScript u otro tipo de scritps en las webs visitadas por el usuario sin que ni el administrador de la web ni el propio usuario sean conscientes de ello.
Aunque los desarrolladores y administradores web deben tener siempre en mente las políticas CSP (Content Security Policy) que controlan las secuencias de comandos dentro de una web con el fin de evitar que piratas informáticos puedan inyectar código HTML en aplicaciones y webs vulnerables, un reciente estudio de Google ha podido comprobar cómo el 95% de los sitios web que utilizan estas reglas lo hacen de manera incorrecta, exponiendo de igual forma la seguridad de las páginas y aplicaciones web frente a los ataques XSS.
Para intentar proteger mejor a los usuarios y ayudar a los administradores a proteger sus plataformas, Google ha lanzado dos nuevas extensiones para su navegador web, Google Chrome, con el fin de ayudar a los usuarios a protegerse de los ataques XSS y a los administradores a detectarlos en sus plataformas. Estas dos extensiones son CSP Evaluator y CSP Mitigator.
La primera de ellas, CSP Evaluator, es una herramienta disponible tanto como extensión para Google Chrome como en una web independiente que nos ayuda a comprobar la configuración de las políticas CSP de direcciones URL con el fin de ayudarnos a solucionar posibles problemas que podamos tener y proteger así las webs de los ataques XSS.
Podemos acceder a esta plataforma desde el siguiente enlace o, si lo preferimos, descargar la extensión desde la Chrome Store.
La segunda de las extensiones, CSP Mitigator, es una herramienta que nos va a permitir identificar las secuencias de comandos con atributos nonce incorrectos, así como controladores de línea de JavaScript, URIs y otros elementos que puedan dar lugar a ataques XSS y supongan un riesgo para la seguridad y privacidad de los usuarios. Además, gracias a esta herramienta, los administradores van a poder comprobar el efecto de las diferentes reglas en tiempo real, pudiendo comprobar si alguna hace que la web deje de funcionar adecuadamente.
Podemos descargar esta extensión desde la Chrome Store.
Dos extensiones que le han costado a Google 1.2 millones de dólares
Googla admite haber tenido que pagar en recompensas más de 1.2 millones de dólares por culpa de los ataques XSS reportados a través del programa de recompensas de errores internos, algo con lo que ha querido acabar con estas dos extensiones.
Estas herramientas han sido ya utilizadas a nivel interno por la compañía para mejorar la seguridad de diferentes servicios como Google Cloud Console, Google Fotos, o Google Maps, entre otras. Gracias a ellas, ahora la compañía cuenta con una protección proactiva contra los ataques XSS y, gracias a la publicación de ellas, los demás usuarios y administradores podrán navegar de forma un poco más segura por la red, evitando que los piratas informáticos se aprovechen de los ataques XSS para comprometer su seguridad.
¿Qué te parecen estas dos extensiones de Google Chrome para detectar y protegerse de los ataques XSS?