Google запустила базу знаний об уязвимостях XS-Leaks

Компания Google объявила о запуске базы знаний с информацией о классе уязвимостей, называемых межсайтовые утечки или XS-Leaks. Данные уязвимости связаны с некорректным использованием современными web-приложениями привычного поведения web-платформы, что приводит к утечке информации о пользователе или информации, которую пользователь ввел в другие web-приложения.

XS-Leaks призвана помочь сообществу специалистов по информационной безопасности лучше понять данные проблемы и усилить защиту. Фактически, Google предлагает исследователям безопасности помочь расширить базу знаний и поделиться подробностями о новых атаках и средствах защиты.

Сайт XS-Leaks доступен на xsleaks.dev и содержит информацию о причинах, ведущих к межсайтовым утечкам. Он включает в себя небольшие статьи с подробным описанием каждой межсайтовой утечки, ее последствий и мер по предотвращению эксплуатации уязвимостей, а также PoC-код для эксплуатации проблем.

База знаний также поможет web-разработчикам понять, как механизмы защиты в браузерах могут защитить приложения от межсайтовых утечек.

«Каждая атака, описанная в вики, сопровождается обзором функций безопасности, которые могут предотвратить или смягчить ее. База знаний призвана предоставить действенное руководство, чтобы помочь разработчикам внедрить новые функции безопасности браузера, такие как Fetch Metadata Request Headers, Cross-Origin Opener Policy, Cross-Origin Resource Policy и SameSite cookies», — пояснили в Google.