Google wypuściło narzędzie do sprawdzania Content Security Policy

Google wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na aplikacje webowe.

Google w programie Bug Bounty do tej pory (na przestrzeni dwóch lat) wypłaciło około 1.2 miliona dolarów za ten rodzaj podatności.  Narzędzie zostało stworzone na podstawie doświadczeń opisanych w dokumencie „CSP Is Dead, Long Live CSP!” . Na pewno warto z niego skorzystać w celu przekonania się, czy nasze założenia przyjętej polityki są poprawne i poddać je ewentualnemu hartowaniu w celu podniesienia bezpieczeństwa naszej webaplikacji. Została stworzona również wersja pod postacią rozszerzenia do przeglądarki Chrome.

–pki