L'hook del BeEF può essere interrotto con Content Security Policies

5

So che usare valori rigorosi per default-src e scripts-src è un modo popolare per prevenire (o almeno limitare l'impatto) degli attacchi XSS. Ma mi stavo solo chiedendo che i CSP possano essere usati per fermare gli attaccanti / pentesters dall'aggirare i browser usando il framework BeEF.

    
posta JohnnyHunter 08.04.2018 - 00:36
fonte

1 risposta

2

Sì. L'hook Beef è solo un payload avanzato per un attacco XSS che si basa sul tag script-src. Se disponi di una politica di sicurezza dei contenuti salda, il browser delle vittime rifiuterà di caricare l'hook di manzo esterno.

CSP è una linea di difesa secondaria in caso di vulnerabilità di tipo HTML-injection.

    
risposta data 08.04.2018 - 10:03
fonte

Leggi altre domande sui tag