Предложение ведомств призвано улучшить безопасность новых версий программ.
CISA и ФБР призвали технологические компании пересмотреть свое программное обеспечение, чтобы предотвратить наличие XSS-уязвимостей в будущих релизах. Уязвимости межсайтового скриптинга остаются проблемой для многих современных продуктов, несмотря на то, что их можно полностью избежать при соблюдении надлежащих стандартов разработки.
Агентства подчеркнули, что XSS-уязвимости предоставляют злоумышленникам дополнительные возможности для атак, включая внедрение вредоносных скриптов в веб-приложения. Это может привести к манипуляции данными, краже или неправомерному использованию в различных контекстах. Подобные уязвимости возникают из-за ошибок в проверке, очистке и экранировании входных данных.
Представители CISA и ФБР рекомендовали руководителям технологических компаний проводить формальные проверки ПО с целью внедрения принципов безопасной разработки, что позволит полностью устранить XSS-уязвимости. В совместном предупреждении агентства также отметили, что одних лишь методов очистки данных недостаточно для предотвращения угроз — необходимы дополнительные меры безопасности, такие как проверка структуры и содержания входных данных, а также использование современных веб-фреймворков с функциями экранирования и кодирования.
Для повышения безопасности кода специалисты CISA и ФБР советуют проводить тщательные ревизии и тестирование на протяжении всего жизненного цикла разработки. Такие меры помогут предотвратить появление уязвимостей в будущих релизах программного обеспечения. По данным MITRE, XSS-уязвимости занимают второе место среди самых опасных уязвимостей в программном обеспечении , уступая лишь уязвимостям типа «out-of-bounds».
Собираем и анализируем опыт профессионалов ИБ