Срочно проверьте ПО: CISA и ФБР начинают борьбу против XSS

Предложение ведомств призвано улучшить безопасность новых версий программ.


kslg34ue3hyuyrm6xabjvt9u7kg2dg3x.jpg


CISA и ФБР призвали технологические компании пересмотреть свое программное обеспечение, чтобы предотвратить наличие XSS -уязвимостей в будущих релизах. Уязвимости межсайтового скриптинга остаются проблемой для многих современных продуктов, несмотря на то, что их можно полностью избежать при соблюдении надлежащих стандартов разработки.

Агентства подчеркнули, что XSS-уязвимости предоставляют злоумышленникам дополнительные возможности для атак, включая внедрение вредоносных скриптов в веб-приложения. Это может привести к манипуляции данными, краже или неправомерному использованию в различных контекстах. Подобные уязвимости возникают из-за ошибок в проверке, очистке и экранировании входных данных.

Представители CISA и ФБР рекомендовали руководителям технологических компаний проводить формальные проверки ПО с целью внедрения принципов безопасной разработки, что позволит полностью устранить XSS-уязвимости. В совместном предупреждении агентства также отметили, что одних лишь методов очистки данных недостаточно для предотвращения угроз — необходимы дополнительные меры безопасности, такие как проверка структуры и содержания входных данных, а также использование современных веб-фреймворков с функциями экранирования и кодирования.

Для повышения безопасности кода специалисты CISA и ФБР советуют проводить тщательные ревизии и тестирование на протяжении всего жизненного цикла разработки. Такие меры помогут предотвратить появление уязвимостей в будущих релизах программного обеспечения. По данным MITRE , XSS-уязвимости занимают второе место среди самых опасных уязвимостей в программном обеспечении , уступая лишь уязвимостям типа «out-of-bounds» .