漏洞是如何產(chǎn)生的?
同源策略是一種安全機(jī)制,它限制來自不同源的資源之間的交互。這種機(jī)制有助于隔離潛在的惡意資源,減少可能的網(wǎng)絡(luò)攻擊。Evernote的WebClipper擴(kuò)展程序中的漏洞,名為CVE-2019-12592,使黑客能夠繞過同源策略,這意味著黑客可以讀取、更改和竊取瀏覽器訪問過的數(shù)據(jù),并在Chrome上啟用通用跨站點(diǎn)腳本。
漏洞對企業(yè)的影響
瀏覽器已經(jīng)成為大多數(shù)工作環(huán)境中不可或缺的工具,它使用戶可以利用基于云的應(yīng)用程序完成工作。WebClipper的漏洞將用戶通過Chrome瀏覽器訪問的敏感企業(yè)數(shù)據(jù)暴露給黑客,使許多企業(yè)面臨數(shù)據(jù)泄露的風(fēng)險。
關(guān)于此問題
Webstore中有近8500個擴(kuò)展程序,其中許多具有類似的漏洞,可能導(dǎo)致數(shù)據(jù)泄漏,那么如何知道哪些擴(kuò)展程序是有害的?如何防止用戶在網(wǎng)絡(luò)中安裝易受攻擊的擴(kuò)展程序?找到并消除瀏覽器漏洞是一項(xiàng)挑戰(zhàn),但有了合適的工具就容易得多了。
解決方案
ManageEngine的BrowserSecurityPlus是一款企業(yè)安全軟件,可以幫助防止基于web的網(wǎng)絡(luò)攻擊。BrowserSecurityPlus的插件管理功能能夠幫助您深入了解網(wǎng)絡(luò)中存在的各種擴(kuò)展程序,其中就包括哪些擴(kuò)展程序是有害的,那么,您就可以禁用它們,以使您的網(wǎng)絡(luò)遠(yuǎn)離那些基于瀏覽器的漏洞。
或者,您可以將您知道并信任的擴(kuò)展程序列入白名單,確保只有它們才會出現(xiàn)在您的網(wǎng)絡(luò)中,用戶將無法安裝不在此名單中的任何擴(kuò)展程序,如果某擴(kuò)展程序在白名單實(shí)施前已經(jīng)在計算機(jī)上,它將會被禁用。
BrowserSecurityPlus還提供創(chuàng)建您自己的擴(kuò)展程序庫的功能。您可以添加并維護(hù)任務(wù)關(guān)鍵型擴(kuò)展程序庫,并根據(jù)需要將擴(kuò)展程序分發(fā)到計算機(jī)。
登陸官網(wǎng)下載BrowserSecurityPlus免費(fèi)試用30天!
https://www.manageengine.cn/
