Вернуться на все новости от 26 ноября 2008 г.Компания Positive Technologies опубликовала результаты анализа XSS-фильтра, встроенного в текущую beta Internet Explorer 8. Из шести известных видов XSS-нападений фильтр позволяет справиться с тремя, что уже является хорошим результатом. В частности, фильтр справился с внедрением вредоносного JavaScript-кода в AJAX (DOM-based XSS), в сам HTML и в параметр тега. Это наиболее распространенные типы XSS-атак. Однако пользователи все еще являются незащищенными от сохраненных атак, от внедрения кода в HTML-теге и в сам сценарий JavaScript.
Возможно, что вслед за Microsoft аналогичные методы защиты появятся и в других браузерах. Кроме того, на такие механизмы защиты, скорее всего, обратят внимание разработчики антивирусных программ и HIPS-защит.
Исследователи Positive Technologies обнаружили, что IE8 подвержен другому типу Web-атак, который называется Расщепление HTTP-ответа (HTTP Response Splitting). Он позволяет обходить защитные фильтры с помощью добавления дополнительных заголовков в HTTP-ответ сервера. Этот тип атаки могут использовать злоумышленники для отключения XSS-фильтра. Возможно, что в окончательной версии браузера эта проблема будет решена.
