Microsoft
X-XSS Koruması özelliği Microsoft Edge Tarayıcı, 2008'de piyasaya sürüldüğünden beri sistemde siteler arası komut dosyası yazma saldırılarını önlemek için kullanılıyor. Mozilla Firefox'un geliştiricileri ve birkaç analist gibi teknoloji endüstrisindeki bazıları, Mozilla'nın onu dahil etmeyi reddetmesiyle bu özelliği eleştirdi. tarayıcısı, daha entegre bir çapraz tarama deneyimi umutlarını geri çevirdi, Google Chrome ve Microsoft'un kendi Internet Explorer'ı bu özelliği çalıştırdı ve Microsoft'tan henüz aksini belirten bir açıklama gelmedi. 2015'ten bu yana, Microsoft Edge X-XSS Koruma Filtresi, X-XSS komut dosyasının etkinleştirilip etkinleştirilmediğine bakılmaksızın web sayfalarındaki bu tür kod geçiş girişimlerini filtreleyecek şekilde yapılandırılmıştır, ancak görünen o ki, bir kez varsayılan olarak Gareth Heyes tarafından keşfedildi PortSwigger Microsoft Edge tarayıcısında artık devre dışı bırakılacak ve Microsoft bu değişikliğin sorumluluğunu üstlenmediği için bir hatadan kaynaklandığını düşündüğü bir durum.
Kapalı ve açık komut dosyalarının ikili dilinde, tarayıcı bir 'X-XSS-Protection: 0' üstbilgisi oluşturuyorsa, siteler arası komut dosyası savunma mekanizması devre dışı bırakılır. Değer 1 olarak ayarlanırsa etkinleştirilecektir. “X-XSS Korumasının üçüncü ifadesi: 1; mode = block ”web sayfasının ileriye doğru gelmesini tamamen engeller. Heyes, değerin varsayılan olarak 1 olarak ayarlanması gerekmesine rağmen Microsoft Edge tarayıcılarında artık 0 olarak ayarlandığını keşfetti. Ancak Microsoft’un Internet Explorer tarayıcısında durum böyle görünmüyor. Bu ayarı tersine çevirmeye çalışırken, bir kullanıcı komut dosyasını 1 olarak ayarlarsa, 0'a geri döner ve özellik kapalı kalır. Microsoft bu özellik konusunda öne çıkmadığından ve Internet Explorer bunu desteklemeye devam ettiğinden, bunun, Microsoft'un bir sonraki güncellemede çözmesini beklediğimiz tarayıcıdaki bir hatanın sonucu olduğu sonucuna varılabilir.
Siteler arası komut dosyası çalıştırma saldırıları, güvenilir bir web sayfası kullanıcıya kötü amaçlı bir yan komut dosyası ilettiğinde gerçekleşir. Web sayfası güvenilir olduğundan, bu tür kötü amaçlı dosyaların ortaya çıkmamasını sağlamak için sitenin içeriği filtrelenmez. Bunu önlemenin temel yolu, tarayıcıda tüm web sayfaları için HTTP TRACE'in devre dışı bırakılmasını sağlamaktır. Bir bilgisayar korsanı kötü amaçlı bir dosyayı bir web sayfasında sakladıysa, bir kullanıcı ona eriştiğinde, kullanıcının bilgilerine erişmek ve potansiyel olarak cihazını hacklemek için kullanabileceği kullanıcının çerezlerini çalmak için HTTP İzleme komutu çalıştırılır. Tarayıcı içinde bunu önlemek için X-XSS-Protection özelliği getirildi, ancak analistler bu tür saldırıların aradıkları bilgileri almak için filtrenin kendisini kullanabileceğini savunuyorlar. Buna rağmen, birçok web tarayıcısı, en temel XSS kimlik avı türlerini önlemek için bu komut dosyasını ilk savunma hattı olarak korumuş ve filtrenin kendisinin oluşturduğu güvenlik açıklarını yamamak için daha yüksek güvenlik tanımları eklemiştir.
