一、情况分析
基于Chromium 内核的浏览器被曝存在一个可被绕过的内容安全策略(简称 CSP)漏洞。
这个代号为CVE-2020-6519的安全漏洞可以让攻击者绕过大部分网站都有使用、专为阻挡部分类型攻击而设的CSP(Content Security Policy),然后偷取网站用户的个人敏感数据。
要利用这个漏洞,攻击者首先需要获得网站服务器的访问权限,之后就可以在Javascript内加入frame-src或child-src指令来让Javascript允许加载以及执行新加入的代码,从而完全绕过CSP。
该漏洞(CVE-2020-6519)可在 Windows、Mac 和 Android 版 Chrome 浏览器,以及 Opera 和 Edge 中找到。
