聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
XSS漏洞即跨站点脚本漏洞,CISA和FBI指出,这些漏洞存在的原因是未对用户输入进行正确验证、清理或逃逸,因此导致威胁行动者将恶意脚本注入 web 应用中,从而导致数据操纵、盗取或滥用。
CISA和FBI指出,“尽管一些开发人员使用了输入清理技术来阻止XSS漏洞但这种方法并非一劳永逸,应当通过额外的安全措施进行强化。”它们督促组织机构“审计这些缺陷实例”并执行计划,阻止产品中的XSS漏洞。
CISA和FBI建议组织机构审计所写的威胁模型,确保对软件的结构和意义都进行验证、开展代码审计、执行竞对产品测试以验证代码质量和安全,并使用现代 web 框架确保正确的转义或引用。
FBI和CISA提到,“高管和业务领导应当询问团队如何消除这些缺陷以及是否在产品中实现了设计即安全的方法。”它们同时建议组织机构执行这些设计即安全原则,保护产品免受XSS利用攻击:成为客户安全结果的主人,拥抱快速变化的透明度和责任,并构建组织结构和领导力来实现这些目标。
FBI和CISA提到,“为了展示对构建设计即安全产品的承诺,软件制造商应当考虑做出设计即安全承诺。该承诺表明签署方展现实现七个目标做出的可衡量进步,包括减少如XSS这样的系统性漏洞类型。”
原文始发于微信公众号(代码卫士):CISA、FBI督促消除XSS漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论