Приветствую, меня зовут Русс МакРии (Russ McRee) и я являюсь сотрудником команды Online Services Security & Compliance Incident Management. Моя команда обслуживает обработчики случаев разных типов атак, с которыми сталкиваются наши сервисы. Первые строчки в этом списке занимают атаки с использованием межсайтового скриптинга.
Бытует мнение, что XSS-атаки менее эффективны, чем остальные типы атак, поэтому реализуются они чаще теорически, нежели практически. И я считаю, что данное предубеждение только увеличивает степень риска, которым подвергаются интернет пользователи. Я хотел бы поделиться с вами кое-какой информацией, показывающей, почему я считаю внедрение XSS-фильтра в Internet Explorer настолько существенным.
Web Application Security Consortium (WASC) недавно опубликовл результаты исследования Web Application Security Statistics Project 2007. Данные, представленные в данном отчете, являются дополнением к статистике, которую я приводил в статье The Anatomy of an XSS Attack в журнале ISSA Journal от июня 2008 года.
Некоторые выдержки из исследования WASC:
- Из самых распространенных уязвимостей, куда входят SQL-инъекции, утечки информации и межсайтовый скриптинг, XSS-атаки являются наиболее часто используемыми - 41%.
- На 10 297 сайтов, проверенных в рамках исследования WASC, было обнаружено 28 796 XSS-уязвимостей, которые присутствовали на 31% изученных сайтов.
Дополнительная статистика:
- Согласно отчету Internet Security Threat Report от Symantec, за последние 6 месяцев 2007 года было документировано 11 253 уязвимостей межсайтового скриптинга, тогда как в период между февралем и июнем того же года это число составило всего 6 691 уязвимостей - рост числа уязвимостей между полугодиями составил 62%.
- Согласно WhiteHat Security Statistics Report, 90% сайтов имеют хотя бы одну уязвимость, а 70% уязвимы для XSS-атак.
Статистика всегда может быть использована для того, чтобы доказать свою точку зрения, но сами понимаете, что более важны действия, которые принимаются для решения проблемы. Так как количество XSS-уязвимостей растет в геометрической прогрессии, то XSS-фильтр в IE8, призванный защитить пользователей от этого типа атак, является отличным решением.
Дэвид Росс (David Ross), инженер по безопасности программного обеспечения в команде SWI, разработал инструмент, который обнаруживает вероятные XSS-атаки в межсайтовых запросах, идентифицирует и нейтрализует атаку, если она совершается в ответ на запрос сервера. Пользователю не задаются вопросы, на которые он не может ответить - IE просто блокирует вредоносный скрипт от исполнения.
Проще говоря, XSS-фильтр в IE8 призван обеспечить глубокую защиту путем автоматического обнаружения и предотвращения наиболее распространенных XSS-атак, с которыми пользователи сталкиваются на просторах Интернета, без потери производительности или совместимости.
Если обращаться к статистике, которая приведена выше, то это 70% возможных угроз, с которыми могут столкнуться пользователи IE8, и предотвращены XSS Filter. Я действительно возбужден той работой, которую делают команды Internet Explorer и SWI, чтобы предоставить новый уровень безопасности для пользователей.
Русс МакРии (Russ McRee),
разработчик группы Online Services Security & Compliance Incident Management в команде Internet Explorer