コンテンツセキュリティポリシーでBeEFフックを停止できますか
Default-srcとscripts-srcに厳密な値を使用することは、XSS攻撃を防ぐ(または少なくとも影響を制限する)一般的な方法であることを知っています。しかし、CSPを使用して攻撃者/ペンテスターがBeEFフレームワークを使用してブラウザーをフックするのを阻止できるのかと思っていました。
はい。 Beefフックは、script-srcタグに依存するXSS攻撃の高度なペイロードにすぎません。健全なContent-Security-Policyがある場合、被害者のブラウザは外部ビーフフックのロードを拒否します。
CSPは、HTMLインジェクションの脆弱性がある場合の二次的な防御線です。