G

oogle wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (ang. Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na aplikacje webowe.

Google w programie Bug Bounty do tej pory (na przestrzeni dwóch lat) wypłaciło około 1.2 miliona dolarów za ten rodzaj podatności. Narzędzie zostało stworzone na podstawie doświadczeń opisanych w dokumencie “CSP Is Dead, Long Live CSP!” . Na pewno warto z niego skorzystać w celu przekonania się, czy nasze założenia przyjętej polityki są poprawne i poddać je ewentualnemu hartowaniu w celu podniesienia bezpieczeństwa naszej webaplikacji. Została stworzona również wersja pod postacią rozszerzenia do przeglądarki Chrome.