Bộ lọc XSS trên trình duyệt Microsoft Edge ngừng hoạt động

Nhà nghiên cứu bảo mật Gareth Heyes của hãng bảo mật PortSwigger vừa phát hiện ra bộ lọc XSS trên trình duyệt Edge ngừng hoạt động. Bộ lọc XSS là cơ chế bảo mật do Microsoft phát triển, có thể ngăn chặn các cuộc tấn công cơ bản (XSS) trên các trình duyệt.

Microsoft phát hành bộ lọc XSS vào năm 2008 và được tích hợp đầu tiên trên trình duyệt Internet Explorer 8, sau đó được mở rộng sang cả trình duyệt Edge, các trình duyệt khác như Google Chrome và Safari cũng lần lượt tích hợp bộ lọc XSS.

bo loc xss tren trinh duyet microsoft edge ngung hoat dong

Bộ lọc XSS trên trình duyệt web Microsoft Edge ngừng hoạt động

Bộ lọc XSS hoạt động như thế nào?

Tính năng bảo mật này còn được gọi là X-XSS-Protection. Cái tên này được biết đến là bởi vì chủ sở hữu trang web có thể cấu hình header HTTP có tên X-XSS-Protection cho máy chủ cung cấp trang web của họ.

Khi trình duyệt tải một trang từ các trang này và phát hiện header, chúng sẽ chạy bộ lọc XSS bảo vệ dựa trên các header đó, có thể là một trong 3 giá trị:

X-XSS-Protection: 0
X-XSS-Protection: 1

X-XSS-Protection: 1; mode=block

Khi nhìn thấy header "X-XSS-Protection: 0", trình duyệt sẽ vô hiệu hóa bộ lọc bảo vệ XSS.
Khi nhìn thấy header "X-XSS-Protection: 1", trình duyệt sẽ khử mã của trang và xóa các mẫu cụ thể cho các cuộc tấn công XSS.

Khi nhìn thấy "X-XSS-Protection: 1; mode=block", trình duyệt sẽ chặn hiển thị bất kỳ nội dung nào trên trang nếu nó phát hiện các mẫu cụ thể cho các cuộc tấn công XSS.

Trình duyệt Edge sử dụng giá trị thứ 2 làm giá trị mặc định, tức là trình duyệt sẽ cố gắng khử mã của bất kỳ trang web nào mà nó tải, bất kể header của trang web có phải là X-XSS-Protection được cấu hình hay không.

Bộ lọc XSS của Edge không được kích hoạt theo mặc định

Mới đây nhà nghiên cứu bảo mật Heyes phát hiện ra rằng bộ lọc XSS trên trình duyệt Edge không hoạt động đúng cách và bị vô hiệu hóa, bị tắt theo mặc định.

Theo nhà nghiên cứu, mặc định bộ lọc XSS được kích hoạt theo mặc định. Tuy nhiên bộ lọc lại bị vô hiệu hóa, thậm chí khi người dường cố gắng kích hoạt X-XSS-Protection: 1, bộ lọc vẫn bị vô hiệu hóa, bị tắt.

Chưa ra lý do vì sao bộ lọc XSS lại bị tắt theo mặc định cho tất cả các trang web, phía Microsoft và nhóm phát triển Edge vẫn chưa có bất kỳ thông báo chính thức nào.

Nhiều khả năng nó không phải là cấu hình có chủ ý từ phía Microsoft mà là một lỗi. Cụ thể tính năng vẫn hoạt động bình thường và được kích hoạt trên trình duyệt Internet Explorer. Nếu muốn Microsoft đã phải loại bỏ tính năng này trên cả 2 trình duyệt.

Hơn nữa, có thể XSS Filter vẫn chưa được kích hoạt trên trình duyệt Edge, nhưng khi các trang web đặc biệt sử dụng thiết lập mức độ bảo mật thứ 3 mà hầu hết các chủ sở hữu trang web đều không sử dụng vì thiết lập này chặn Edge hiển thị các trang web.

Heyes lưu ý cách duy nhất để kích hoạt bộ lọc XSS là sử dụng thiết lập X-XSS-Protection: 1; mode=block.

Về phía Microsoft cho biết công ty không đưa ra bất kỳ bình luận, chia sẻ thêm nào với hãng bảo mật PortSwigger sau khi đưa ra bình luận hồi đầu tuần này.

Trường hợp bộ lọc XSS bị loại bỏ

Các nhà nghiên cứu tại PortSwigger cũng đưa ra giả thuyết trong trường hợp bộ lọc XSS bị loại bỏ. Có rất nhiều lý do để không loại trừ khả năng này.

Đầu tiên, các nhà nghiên cứu bỏ qua tính năng hoặc lạm dụng nó để thực hiện các cuộc tấn công khác trên trình duyệt cơ bản.

Thứ 2, Mozilla chưa bao giờ đồng tình với tính năng này và công ty phát triển cơ chế anti- XSS được hỗ trợ bởi trình duyệt chéo.
Thứ 3, theo cổng MDN, trang tài liệu chính thức về các tính năng web, bộ lọc XSS không còn quan trọng như trước đây:

"Mặc dù các biện pháp bảo vệ này phần lớn không còn cần thiết trên các trình duyệt hiện đại khi các trang web triển khai chính sách Content-Security-Policy, vô hiệu hóa việc sử dụng JavaScript không an toàn, các biện pháp này vẫn có thể bảo vệ người dùng trình duyệt web cũ hơn hỗ trợ CSP".

Thứ 4, chủ sở hữu trang web thường hiểu nhầm tính năng này và cấu hình sai trang web, vì vậy tính năng hiếm khi được tận dụng hết khả năng của nó.

Cuối cùng dù đó là một lỗi nào đó hoặc mục đích của Microsoft là vô hiệu hóa thì bộ lọc XSS vẫn không thu hút được lượng người dùng quan tâm.

Sử dụng trình duyệt Microsoft Edge, các bạn cũng không nên bỏ qua tổ hợp phím tắt giúp thao tác nhanh hơn trên chính trình duyệt này, danh sách phím tắt Edge tại đây.

http://thuthuat.taimienphi.vn/bo-loc-xss-tren-trinh-duyet-microsoft-edge-ngung-hoat-dong-36641n.aspx
Tiện ích dòng lệnh tuyệt vời của Windows, PowerShell cho Ubuntu có sẵn dưới dạng Snap giúp cho người dùng hệ điều hành mở này có thể dễ dàng sử dụng PowerShell chỉ với một vài dòng lệnh cài đặt đơn giản.

Tác giả: Duy Vinh     (4.0★- 14 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Kiểm tra phiên bản Edge, check version trình duyệt web Microsoft Edge
Sử dụng tính năng SET ASIDE trên trình duyệt Microsoft Edge
Cách chụp Full 1 trang Web bằng Microsoft Edge
Sửa lỗi Microsoft Edge chạy chậm, sửa lỗi không tải trang trên Microsoft Edge
Lấy lại Internet Explorer trên Microsoft Edge
Từ khoá liên quan:

Bộ lọc XSS trên trình duyệt Microsoft Edge ngừng hoạt động

, Microsoft, bộ lọc XSS,

SOFT LIÊN QUAN
  • Edge Blocker

    Chặn trình duyệt Edge trên Windows 10

    Edge Blocker là công cụ giúp người dùng chặn trình duyệt Microsoft Edge trên Windows 10, đây là trình duyệt ra mắt song hành cùng với Windows 10 của nhà phát hành Microsoft. Ứng dụng này sẽ khóa trình duyệt khi máy tính khởi động, chặn ngay lập tức trên hệ điều hành. Edge Blocker còn giải quyết triệt để tình trạng chạy ngầm làm chậm máy tính của trình duyệt này.

Tin Mới

  • Skype cho desktop cho phép xem danh sách và cuộc trò chuyện cùng lúc

    Microsoft vẫn đang nỗ lực để mang lại cho người dùng Skype các trải nghiệm mới mẻ. Bằng chứng là bản cập nhật Skype v8 mới nhất cho người dùng Insider, hãng bổ sung thêm tính năng cho phép người dùng xem danh sách liên hệ và cuộc trò chuyện cùng lúc.

  • Opera tiết lộ chỉnh sửa giao diện người dùng desktop Reborn 3

    Opera> Software đã công bố phiên bản dành cho nhà phát triển đầu tiên của trình duyệt Opera "mới" có tên là R3 hoặc Reborn 3. Công ty đã nói vui rằng bản cập nhật ra mắt tuần trước là "tiêu chuẩn mới". Theo Opera, R3 là "trình duyệt desktop Web 3-ready đầu tiên trên thế giới" - không rõ điều này thực sự có nghĩa là gì.

  • Cuối cùng Virtual Desktops cũng có mặt trên Chrome OS

    Virtual Desktops là một trong những tính năng hữu ích trên macOS và Windows 10, cho phép người dùng tạo ra các màn hình desktop độc lập để quản lý và thao tác các công việc dễ dàng và hiệu quả hơn, ngoài macOS và Windows 10, Virtual Desktops cũng có mặt trên Chrome OS - đối thủ đáng gờm của 2 ông lớn hệ điều hành trên

  • Top phần mềm kế toán tốt nhất dành cho cá nhân và DN

    Nâng cao hiệu năng của công tác kế toán tại doanh nghiệp là đòi hỏi cấp thiết trong thời kỳ cạnh tranh, các công ty lớn hay nhỏ đều phải thực hiện các nghiệp vụ về kế toán để kê khai, quản lý và tính toán chi tiết các khoản chi tiêu của công ty mình. Tuy nhiên sử dụng phần mềm kế toán nào cho phù hợp với cơ cấu của doanh nghiệp là điều hết sức quan trọng. Đó có thể là MISA, 1A hay phần mềm kế toán Fast Accounting ... Sau đây Taimienphi.vn sẽ gửi đến các bạn một số phần mềm kế toán được đánh giá là tốt nhất hiện nay.


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá