Google trabalha em novo recurso de segurança do Chrome para “destruir o DOM XSS”

O Google criou uma nova API de navegador que ajudará o Google Chrome a combater certos tipos de vulnerabilidades de cross-site scripting (XSS), adicionando outro nível de proteção no nível do navegador para manter os usuários protegidos contra tentativas de invasão.

Esse novo recurso é chamado de tipos confiáveis ​​e é uma API do navegador na qual o Google vem trabalhando nos últimos meses.

Os engenheiros da empresa planejam testar os tipos confiáveis ​​ao longo de 2018, entre o Chrome 73 e o Chrome 76, antes de implementá-lo e ativá-lo como um recurso de segurança permanente para todos os usuários do Chrome no final do ano, se tudo correr conforme o planejado.

Esse novo recurso de segurança foi desenvolvido com a intenção de proteger os usuários contra um dos três tipos de falhas de script entre sites – ou seja, XSS baseado em DOM (ou tipo-0) .

Os outros dois tipos de XSS são “refletidos” e “armazenados”. Um detalhamento detalhado de todos os três tipos de XSS está disponível aqui , para leitores que querem aprender mais sobre XSS.

Basicamente, o XSS baseado em DOM é uma vulnerabilidade de segurança que reside no código-fonte de um site. Hackers aproveitam os chamados pontos de injeção para inserir código no DOM do navegador (o código-fonte da página) que executa operações maliciosas indesejadas – como roubar cookies, manipular o conteúdo da página, redirecionar usuários, etc.

O Trusted Types bloqueará esses ataques permitindo que os proprietários de sites bloqueiem “pontos de injeção” conhecidos no código de um site, que geralmente são a causa raiz do XSS baseado em DOM.

Os proprietários de websites podem ativar a próxima proteção dos tipos confiáveis ​​do Chrome definindo um determinado valor no cabeçalho de resposta HTTP Content Security Policy (CSP).

Depois de ativado, o acesso aos pontos de injeção do DOM será restrito pela Trusted Types API integrada do Chrome, bloqueando todos os ataques antes que o código de exploração do XSS possa aproveitar o DOM (código-fonte da página) para atacar os usuários.

Um tutorial sobre como os proprietários de sites podem ativar tipos confiáveis ​​por meio de cabeçalhos de CSP e como os usuários podem configurar o Chrome para usar versões antigas da API de tipos confiáveis ​​está disponível no blog do Google Developers .

No mesmo tutorial, Krzysztof Kotowicz, engenheiro de software da equipe de engenharia de segurança da informação do Google, estava tão confiante no sucesso da API de tipos confiáveis ​​que alegou que esse novo recurso “ajudaria a eliminar o DOM XSS”.

Mais informações sobre a API Trusted Types estão disponíveis na especificação oficial doWICG (Web Platform Incubator Community Group) .

O Trusted Types será o segundo recurso de proteção XSS do Chrome após o XSS Auditor , que o Google lançou com o Chrome 4 em 2010.

De acordo com um relatório da Imperva publicado no mês passado, vulnerabilidades de XSS foram a forma mais comum de ataques baseados na Web em 2014, 2015, 2016 e 2017. Foi a segunda forma mais comum de ataques baseados na web no ano passado, faltando apenas no posição superior devido a um aumento incomum nos ataques de injeção de SQL.

As vulnerabilidades do XSS costumam ser minimizadas por empresas e especialistas em segurança porque nem sempre causam danos diretos aos usuários que acessam um site. No entanto, eles são frequentemente o primeiro passo em rotinas de exploração complexas, facilitando hacks mais prejudiciais. A eliminação de ataques XSS, em muitos casos, manteria os usuários seguros contra ataques mais complexos que não seriam possíveis sem uma posição inicial fornecida pelo XSS.

Por exemplo, nesta semana, o Bootstrap, uma estrutura de interface de usuário usada por algo entre 15 e 20% de todos os sites da internet, foi impactada por um XSS baseado em DOM. Essa é uma grande superfície de ataque para qualquer invasor hoje.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.