Google Chrome CSP保护机制绕过漏洞(CVE-2016-5135)

jimforum 2016-07-26

Google Chrome CSP保护机制绕过漏洞(CVE-2016-5135)


发布日期:2016-07-25
更新日期:2016-07-27

受影响系统:

Google Chrome < 52.0.2743.82

描述:

CVE(CAN) ID: CVE-2016-5135

Google Chrome是由Google开发的一款Web浏览工具。

Google Chrome < 52.0.2743.82之前版本,Blink/WebKit/Source/core/html/parser/HTMLPreloadScanner.cpp未考虑preload请求过程中,HTML文档的referrer-policy信息,这可使远程攻击者绕过CSP保护机制。

<*来源:Google
 
  *>

建议:

厂商补丁:

Google
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://codereview.chromium.org/1913983002
http://googlechromereleases.blogspot.com/2016/07/stable-channel-update.html

jimforum

jimforum

相关推荐

网络即服务(NaaS)需求正在改变企业市场

企业客户对通信服务提供商的需求很高,并且在不断发展。网络即服务是CSP提供重要企业细分市场的令人兴奋的新机会。随着企业组织广泛迁移到云使用模式,NaaS不仅使网络发生了革命性变化,而且还提供了一项服务,可改善企业客户体验和保留率。它是企业满足不断变化的业务

mangmangrenhai / 0评论 2020-06-28

为什么你的网页需要CSP?

内容安全策略是一个 HTTP Header,CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝。使用它是防止跨站点脚本漏洞的最佳方法。由于难以使用 CSP 对现有网站进行改造,因此 CSP 对于所有新网站都是

hezzandgonng / 0评论 2020-04-29

如何克服云计算的网络安全挑战

使用云计算服务的企业通常在云计算环境中存储重要数据,这充分证明云计算服务支持业务增长的原因。云计算服务提供商通常会提供一定程度的安全性,这一点已被证实,但与云计算相关的安全事件仍会发生。云计算服务提供商不能完全为其客户的关键信息资产的安全负责。云计算安全同

focusforce / 0评论 2020-02-18

C语言 获取系统时间与睡眠时间函数

以ms为单位,获取系统时间、睡眠或延迟时间函数的使用方法。

KilluaZoldyck / 0评论 2020-02-02

[转帖]内容安全策略(CSP)详解

网站的安全模式源于“同源策略”,web浏览器允许第一个web页面中的脚本访问页面中的数据,但前提是两个web页面具有相同的源。此策略防止一个页面的恶意脚本通过该页面的文档访问另一个网页上的敏感数据。安全风险例子:1,假设你正在访问银行网站但未注销2,这时候

luohui / 0评论 2020-01-19

golang channel 用法

Golang在并发设计方面参考了C.A.R Hoare的CSP,即Communicating Sequential Processes并发模型理论。但就像John Graham-Cumming所说的那样,多数Golang程序员或爱好者仅仅停留在“知道”这一

sunnyJam / 0评论 2020-01-12

前端培训-中级阶段(13、15)- web网络攻击、CSP内容安全策略(2019-08-29期)

前端最基础的就是 HTML+CSS+Javascript。掌握了这三门技术就算入门,但也仅仅是入门,现在前端开发的定义已经远远不止这些。前端小课堂,本着提升技术水平,打牢基础知识的中心思想,我们开课啦(每周四)。拖更小伙又来了,今天我们来聊聊 web网络攻

cohciz / 0评论 2019-11-04

centos安装wget、csp、zip

centos 安装wget. yum -y install wget. centos 安装csp. yum install openssh-clients. cenos 安装zip. yum install zip unzip

89711530 / 0评论 2017-03-17

ASP.NET Core中如何利用Csp标头对抗Xss攻击

¨CSP,¨éèéWeb¨èContent-Security-Policy HTTP¤é¨è°è°è°CSP·°ASP.NET Core¨¨。nonce-[base64-value]': è·nonceè訰HTTPè·±/ènonceèè

extremecold / 0评论 2019-09-07

使用__webpack_nonce__设置CSP的方法

__webpack_nonce__ = '<%=nonce%>';服务端程序,遇到index.js的请求,就替换掉<%=nonce%>

bbddl / 0评论 2019-07-01

WEB开发面试畅谈(3)——内容安全策略CSP

详情点击http://blog.zhangbing.club/%E...

AquariusYuxin / 0评论 2019-06-27

CSP的今世与未来

不知道CSP是什么的同学,可以看下阿里聚安全博客以前推送的一篇文章《Content Security Policy 入门教程》

UC浏览器搜索引擎 / 0评论 2019-06-20

Web 安全之内容安全策略 (CSP)

内容安全策略 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本攻击 和数据注入等攻击。这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。内容安全策略在现代浏览器中已经包含,使用的是 W3C CSP 1.0 标准中描述

dcbeyond / 0评论 2019-06-20

csp writeCookie

StringBuilder builder = new StringBuilder();String cookieString;cookieString = CookieUtil.enCode(builder.toString());cookieStrin

草原上一间小屋 / 0评论 2011-03-08

谷歌混合云服务平台亮相,虽然是测试版,但功能还不错!

Google近日正式发布云端服务平台Cloud Services Platform,通过自己的容器应用管理工具Kubernetes和微服务管理工具Istio,简化本地和云端的配置、执行和管理服务工作,方便企业在跨不同环境下,打造和部署应用,Google在去

qiuyant / 0评论 2019-02-21

案例!使用CSP防止XSS 攻击入门

跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。为了防止它们,要采取很多编程措施,非常麻烦。本文详细介绍如何使用 CSP 防止 XSS 攻击。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现

zhangyingjie / 0评论 2016-10-08

Google Chrome CSPSource::schemeMatches 信息泄露漏洞(CVE-2016

CVE ID: CVE-2016-5137Google Chrome是由Google开发的一款Web浏览工具。

villa / 0评论 2016-07-27

AngularJS基础 ng-csp 指令详解

<p>使用 ng-csp 指令, 你可以修改 AngularJS 执行代码的方式。设置 ng-csp 指令为 no-inline-style, 将阻止 AngularJS 注入内联样式,但允许 执行 eval 函数。执行, 但是 Angular

学而思之 / 0评论 2019-04-26

你的还是我的?谈谈云安全责任共担模型

过去几个月,安全界见证了多起重大云数据泄露事件。6月份1.97亿美国选民的泄露事件,震惊全球。数周后,600万威瑞森用户数据,被其第三方合作伙伴Nice系统曝光。一周后,该起事件尘埃未定之时,220万道琼斯客户个人信息又遭泄露。云时代的到来,对IT安全提出

王朝虎 / 0评论 2017-09-11

面对云安全 我们应有哪些疑问?

云平台市场竞争非常激烈,初创公司不断涌现试图争夺现有供应商的市场份额。这种竞争推动着云服务提供商努力添加新功能来区分自己,而可能以牺牲云安全为代价。但是,基于最近数据泄露事故的数量,精明的客户应该重新思考他们应该如何选择CSP。CSP应该采用协作的方法确保

Juleen0 / 0评论 2017-02-09

缓解企业对公有云安全担忧的十个简单办法

公有云的安全是否足以承担起关键任务应用?这是企业IT部门力图回答的一个持久性的问题。在OpSource案例中,用户使用VPN客户端或站到站VPN隧道连接到云中。这种做法让公有云成为私有云的延伸,从而使其成为一种安全的混合云。这种服务允许NHTSA将其服务器

yiyierer0 / 0评论 2012-08-16

邪恶的三位一体:机器学习、黑暗网络和网络犯罪

我们应该期待与网络犯罪分子进行持续的斗争,因为恶意软件会变得聪明,而我们的安全防护技能也会不断提高。Fortinet全球安全策略师Derek Manky认为,下一个主要的安全威胁是以Hivenets和Swarmbots组合的形式出现,结果可能会是更有针对性

安在信息安全新媒体 / 0评论 2018-05-17