Учитывая, что и по статистике Positive Technologies, и по международной статистике WASC, XSS является самой распостраненной проблемой Web, наличие подобных механизмов в браузерах - полезный почин. Думаю, этим направлением стоит озаботиться и разработчикам Avir/HIPS.
Ниже краткое резюме по эффективности фильтра против разных векторов атаки:
Сохраненный вариант | Нет |
DOM-Based | Частично |
Отраженный вариант | |
В теге | Нет |
В Javascript | Нет |
В HTML | Да |
В параметре тега | Да |
Что забавно, обнаружили возможности использования другой уязвимости (Расщепление HTTP-ответа», HTTP Response Splitting) для отключения защиты от XSS. Надеюсь, в релизе эта проблема будет устранена.
Комментариев нет:
Отправить комментарий