CSP 指的是內(nèi)容安全策略 , 是由萬維網(wǎng)聯(lián)盟 (WWW)定義的一種功能，它是指導(dǎo)瀏覽器強(qiáng)制執(zhí)行某些客戶端策略的 Web 標(biāo)準(zhǔn)的一部分。利用 CSP 規(guī)則，網(wǎng)站可以指示瀏覽器阻止或允許特定請(qǐng)求，包括特

8 月 10 日 , 安全研究員在 Windows，Mac 和 Android 的基于 Chromium 的瀏覽器(Chrome，Opera 和 Edge)中發(fā)現(xiàn)了零日 CSP 繞過漏洞(CVE-2020-6519)。該漏洞使攻擊者可以完全繞過 Chrome 73 版(2019 年 3 月)至 83 版的 CSP 規(guī)則, 潛在受影響的用戶為數(shù)十億，其中 Chrome 擁有超過 20 億用戶。以下是漏洞詳情：

漏洞詳情

零日 CSP 繞過漏洞(CVE-2020-6519)

“零日漏洞”(zero-day)又叫零時(shí)差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞。通俗地講，即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi)，相關(guān)的惡意程序就出現(xiàn)。這種攻擊往往具有很大的突發(fā)性與破壞性。

CSP 指的是內(nèi)容安全策略 , 是由萬維網(wǎng)聯(lián)盟 (WWW)定義的一種功能，它是指導(dǎo)瀏覽器強(qiáng)制執(zhí)行某些客戶端策略的 Web 標(biāo)準(zhǔn)的一部分。利用 CSP 規(guī)則，網(wǎng)站可以指示瀏覽器阻止或允許特定請(qǐng)求，包括特定類型的 JavaScript 代碼執(zhí)行。這樣可以確保為站點(diǎn)訪問者提供更強(qiáng)的安全性，并保護(hù)他們免受惡意腳本的攻擊。開發(fā)人員使用 CSP 保護(hù)其應(yīng)用程序免受 Shadow Code 注入漏洞和跨站點(diǎn)腳本的攻擊(XSS)，并降低其應(yīng)用程序執(zhí)行的特權(quán)。Web 應(yīng)用程序所有者為他們的站點(diǎn)定義 CSP 策略，然后由瀏覽器實(shí)施。大多數(shù)常見的瀏覽器(包括 Chrome，Safari，F(xiàn)irefox 和 Edge)都支持 CSP，并且在保護(hù)客戶端執(zhí)行 Shadow Code 方面至關(guān)重要。

攻擊者訪問 Web 服務(wù)器，并在 javascript 中添加 frame-src 或 child-src 指令以允許注入的代碼加載并執(zhí)行它，從而繞過 CSP 強(qiáng)制執(zhí)行，這樣就輕而易舉地繞過站點(diǎn)的安全策略。

該漏洞是在 Chrome 中發(fā)現(xiàn)的，Chrome 是當(dāng)今使用最廣泛的瀏覽器，擁有超過 20 億用戶，并且在瀏覽器市場(chǎng)中所占的比重超過 65%，因此影響是巨大的。CSP 是網(wǎng)站所有者用來強(qiáng)制執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意的 Shadow Code 的主要方法，因此，當(dāng)繞過瀏覽器強(qiáng)制執(zhí)行時(shí)，個(gè)人用戶數(shù)據(jù)將受到威脅。

除了少數(shù)由于服務(wù)器端控制的增強(qiáng) CSP 策略而不受此漏洞影響的網(wǎng)站之外，許多網(wǎng)站還容易受到 CSP 繞過和潛在惡意腳本執(zhí)行的影響。這些網(wǎng)站包括世界上一些知名大網(wǎng)站，例如 Facebook，Wells Fargo，Zoom，Gmail，WhatsApp，Investopedia，ESPN，Roblox，Indeed，TikTok，Instagram，Blogger 和 Quora。再加上攻擊者越來越容易獲得未經(jīng)授權(quán)的 Web 服務(wù)器訪問權(quán)限時(shí)，此 CSP 繞過漏洞可能會(huì)導(dǎo)致大量數(shù)據(jù)泄露。據(jù)估計(jì) , 惡意代碼植入其中 , 跨行業(yè)(包括電子商務(wù)，銀行，電信，政府和公用事業(yè))的數(shù)千個(gè)站點(diǎn)在黑客設(shè)法注入的情況下沒有受到保護(hù)。這意味著數(shù)十億用戶有可能遭受繞過站點(diǎn)安全策略的惡意代碼破壞其數(shù)據(jù)的風(fēng)險(xiǎn)。

受影響產(chǎn)品及版本

此漏洞影響 Chrome 84 版之前版本

解決方案

此漏洞由 Chrome 84 或更高版本修復(fù)

最后建議

由于該漏洞在 Chrome 瀏覽器中已經(jīng)存在了一年多，因此尚不清楚其全部含義。在未來幾個(gè)月中，我們很有可能會(huì)了解到數(shù)據(jù)泄露，這些數(shù)據(jù)被利用并導(dǎo)致出于惡意目的而泄露個(gè)人身份信息(PII)。但是，采取行動(dòng)還為時(shí)不晚。建議如下：

1. 考慮添加其他安全性層，例如隨機(jī)數(shù)或哈希。這將需要一些服務(wù)器端實(shí)現(xiàn)。

2. 僅 CSP 對(duì)大多數(shù)網(wǎng)站而言還不夠，因此，請(qǐng)考慮添加其他安全層

3. 考慮基于 JavaScript 的影子代碼檢測(cè)和監(jiān)視，以實(shí)時(shí)緩解網(wǎng)頁代碼注入。

4. 確保您的 Chrome 瀏覽器版本為 84 或更高版本。

關(guān)鍵詞：