Compartir a través de

Статистическое подтверждение XSS-фильтра IE8

  • Artículo

Приветствую, меня зовут Русс МакРии (Russ McRee) и я являюсь сотрудником команды Online Services Security & Compliance Incident Management. Моя команда обслуживает обработчики разных типов атак, с которыми сталкиваются наши сервисы. Первые строчки в этом списке занимают атаки с использованием межсайтового скриптинга.

Бытует мнение, что XSS-атаки менее эффективны, чем остальные, поэтому реализуются они чаще теорически, нежели практически. А я считаю, что данное предубеждение только увеличивает степень риска, которым подвергаются интернет-пользователи. Я хотел бы поделиться с вами кое-какой информацией, показывающей, почему внедрение XSS-фильтра в Internet Explorer настолько существенно.

Web Application Security Consortium (WASC) недавно опубликовал результаты исследования Web Application Security Statistics Project 2007. Данные, представленные в отчете, являются дополнением к статистике, которую я приводил в статье The Anatomy of an XSS Attack в журнале ISSA Journal от июня 2008 года.

Некоторые выдержки из исследования WASC:

· Из самых распространенных уязвимостей, куда входят SQL-инъекции, утечки информации и межсайтовый скриптинг, XSS-атаки являются наиболее часто используемыми – 41%.

· На 10 297 сайтов, проверенных в рамках исследования WASC, было обнаружено 28 796 XSS-уязвимостей, которые присутствовали на 31% изученных сайтов.

Дополнительная статистика:

· Согласно отчету Internet Security Threat Report от Symantec, за последние 6 месяцев 2007 года было документировано 11 253 уязвимостей межсайтового скриптинга, тогда как в период между февралем и июнем того же года это число составило всего 6 691 уязвимостей – рост числа уязвимостей между полугодиями составил 62%.

· Согласно WhiteHat Security Statistics Report, 90% сайтов имеют хотя бы одну уязвимость, а 70% уязвимы для XSS-атак.

Статистика всегда может быть использована для того, чтобы доказать свою точку зрения, но сами понимаете, что более важны действия, которые предпринимаются для решения проблемы. Так как количество XSS-уязвимостей растет в геометрической прогрессии, то XSS-фильтр в IE8, призванный защитить пользователей от этого типа атак, является отличным решением.

Дэвид Росс (David Ross), инженер по безопасности программного обеспечения в команде SWI, разработал инструмент, который обнаруживает вероятные XSS-атаки в межсайтовых запросах, идентифицирует и нейтрализует атаку, если она совершается в ответ на запрос сервера. Пользователю не задаются вопросы, на которые он не может ответить – IE просто блокирует вредоносный скрипт от исполнения.

Проще говоря, XSS-фильтр в IE8 призван обеспечить глубокую защиту путем автоматического обнаружения и предотвращения наиболее распространенных XSS-атак, с которыми пользователи сталкиваются на просторах Интернета, без потери производительности или совместимости.

Если обращаться к приведенной выше статистике, то 70% возможных угроз, с которыми могут столкнуться пользователи IE8, предотвращаются с помощью XSS Filter. Я действительно воодушевлен той работой, которую проводят команды Internet Explorer и SWI, чтобы предоставить новый уровень безопасности для пользователей.

Русс МакРии (Russ McRee),

разработчик группы Online Services Security & Compliance Incident Management в команде Internet Explorer