Python facilita el análisis de seguridad web

Un desarrollador ha creado una nueva herramienta de código abierto llamada csp-toolkit, una biblioteca de Python y una utilidad de línea de comandos diseñada para simplificar el análisis de las políticas de seguridad de contenido (CSP). La herramienta, disponible en PyPI y GitHub, aborda la falta de bibliotecas de Python existentes para analizar CSP, una tarea crucial para la seguridad web, la automatización de recompensas por errores (bug bounty) y la integración en pipelines de CI/CD. csp-toolkit analiza las CSP, realiza 21 comprobaciones de vulnerabilidad, busca vectores de bypass contra una base de datos de 79 dominios explotables conocidos, asigna calificaciones de A+ a F y ofrece una variedad de funciones adicionales, incluyendo la detección de reutilización de nonces, pruebas de inyección de encabezados y generación de CSP. Una de sus características más destacadas es el 'Bypass Finder', que identifica posibles vectores de bypass al comparar los dominios permitidos en una CSP con una base de datos de dominios vulnerables. El análisis de las políticas de los 10 sitios web principales reveló resultados mixtos, con GitHub obteniendo una calificación A+ y Facebook una F, destacando la variabilidad en la implementación de CSP en la web. La herramienta proporciona un flujo de trabajo completo para el análisis de CSP, desde el escaneo inicial hasta el monitoreo continuo y la generación de informes de violación.