CISA 和 FBI 越来越关注主动的网络安全和网络弹性措施。两家机构最近联合发布了新的Secure by Design 警报,旨在消除跨站点脚本 (XSS) 漏洞,这些漏洞长期以来一直被用来危害数据和用户信任。
当 Web 应用程序不当处理用户输入时,就会出现跨站点脚本漏洞,攻击者可以利用该漏洞将恶意脚本注入网页,然后由毫无戒心的用户执行。这些漏洞非常危险,因为它们不会攻击应用程序本身,而是利用用户对合法网站的信任。
了解跨站点脚本漏洞
当攻击者成功利用 XSS 漏洞时,他们可以劫持用户会话、窃取敏感信息(如登录凭据)甚至更改网站内容以诱骗用户提供个人数据。例如,XSS 可用于在用户设备上安装恶意软件、显示网络钓鱼攻击表单或将用户重定向到恶意网站。
一个典型的例子是黑客组织“ ResumeLooters ”策划的 2024 年数据泄露事件。该组织利用 SQL 注入和 XSS 漏洞,入侵了超过 65 个招聘和零售网站,窃取了超过 200 万求职者的个人信息。攻击者将恶意脚本注入合法网站,从而窃取姓名、电子邮件地址、电话号码等信息。
另一个著名的 XSS 利用攻击包括2019 年对 Fortnite 的入侵。在这起事件中,入侵者利用一个存在 XSS 漏洞的已停用的网页攻击了超过 2 亿用户。这次入侵使黑客得以窃取游戏货币并窃听玩家对话。
安全设计方法
CISA 最新的安全设计警告强调了消除 XSS 漏洞的主动防御机制。该机构敦促开发人员和软件制造商采用安全编码实践。这种方法的核心是从一开始就将安全性融入应用程序的设计和架构中,而不是事后才考虑。
该警报为开发人员提供了如何通过输入验证、输出编码和使用内容安全策略 (CSP) 等技术来预防 XSS 漏洞的指南。这些原则与更广泛的安全设计框架相一致,该框架提倡安全的产品开发,以最大限度地减少可利用的漏洞。
安全设计警报趋势
此次最新的 XSS 漏洞警报遵循了 CISA 先前的一系列安全设计建议,每项建议都针对特定类别的漏洞。这些建议包括SQL 注入、OS 命令注入、目录遍历和SOHO 设备的安全设计改进警报。每项警报都强调了安全编码实践的重要性,强调输入验证、用户数据的安全处理和主动漏洞管理。
例如,SQL 注入漏洞警报强调了未正确清理数据库查询的风险,这可能允许攻击者在数据库上执行任意命令。同时,OS 命令注入警报警告攻击者使用易受攻击的输入字段执行未经授权的操作系统命令,这可能会导致整个系统被入侵。
在所有这些警报中,CISA 强调组织需要遵守安全设计原则。这些原则包括全面的代码审查、自动化测试以及将安全性纳入软件开发生命周期(也称为DevSecOps)。目标是将网络工作从被动防御转变为主动保护,确保在 XSS、SQL 注入和目录遍历等漏洞被利用之前就发现并修复它们。
设计时考虑安全性
通过遵循 CISA 关于消除 XSS 漏洞和采用安全编码实践的指导方针,开发人员可以显著降低漏洞利用风险、保护用户数据并确保其应用程序的长期完整性。通过此最新警报,CISA 和 FBI 提醒我们,安全永远不应是事后才考虑的问题 — 从第一天起,它就必须成为开发过程不可或缺的一部分。
原文始发于微信公众号(河南等级保护测评):美国CISA发布跨站点脚本安全设计警报
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论