برای مشاهده نتایج کلید Enter و برای خروج کلید Esc را بفشارید.

تمهیدات امنیتی موزیلا برای مقابله با code injection

 موزیلا جزییاتی را درباره راهکاری برای مقابله بیشتر با حملات code injection در فایرفاکس ارائه داده.این فرایند ایمن سازی شامل حذف کردن اجزای بالقوه خطرناک در codebase است مانند اسکریپت های inline و توابع eval-like.

حذف کردن اسکریپت های inline  امنیت پروتکل ‘about’ فایرفاکس یا ‘about:’ pages را ارتقا می دهد.تعدادی از این صفحات هستند که به کاربر اجازه می دهند کارهایی مانند نمایش اطلاعات شبکه ای ، بررسی تنظیمات مرورگر و دیدن پلاگین های نصب شده را انجام دهد.

موزیلا نگرانی هایی داشته که ممکن است مهاجمین از صفحه about:config به منظور اجرای حمله code injection سو استفاده کنند.

این صفحات رابطی را برای نمایان کردن وضعیت داخلی مرورگر ایجاد میکنند.ومهمتر از همه about:config که یک API را در دسترس قرار می دهد که برای بررسی و بروزرسانی تنظیمات به کار میرود.

موزیلا اعلام کرده تمام event handler های inline دوباره نوشته شده وبرای همه ۴۵ صفحه about در فایرفاکس تمام کدهای جاوا اسکریپت  inline به فایل های بسته بندی شده منتقل شده.این موضوع به منظور اعمال یک سیاست امنیت محتوای (CSP) قوی انجام شده مانند default-src در کروم.

این فرایند تضمین میکند که کد تزریق شده جاوا اسکریپت اجرا نشود و در عوض کد جاوا اسکریپت فقط زمانی اجرا میشود که از یک منبع بسته بندی شده با استفاده از پروتکل داخلی chrome لود شود.مسدود کردن هرگونه اسکریپت inline در هر صفحه about محدوه حمله هر گونه RCE را محدود میکند وبنابراین خط دفاعی قدرتمندی را در برابر code inhection ایجاد میکند.

مورد دیگر که برای محکم کاری انجام شده ،rewrite کردن استفاده  ار تمام  توابع eval-like است که موزیلا آنها را خطرناک میداند و توسعه دهندگان وب را از استفاده ازآنها بر حذر می دارد.

اگر یک تابع eval  با یک رشته که قابلیت آلوده شدن دارد  اجرا شود ممکن است به اجرای کد مخرب روی سیستم کاربر بیانجامد.