ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ve Federal Soruşturma Bürosu, kuruluşları, ürünlerini piyasaya sürmeden önce siteler arası komut dosyası çalıştırma güvenlik açıklarını ortadan kaldırmaya odaklanmaya çağırdı. en son Tasarımla Güvenli uyarıları.
Kurumlar, “Siteler arası betik çalıştırma (XSS) gibi güvenlik açıkları yazılımlarda görünmeye devam ediyor ve bu da tehdit aktörlerinin bunları istismar etmesine olanak sağlıyor” diye yazdı.[XSS] “Güvenlik açıkları önlenebilir ve yazılım ürünlerinde bulunmamalıdır.”
XSS güvenlik açıkları, geliştiricinin girdileri düzgün bir şekilde doğrulamadığı, temizlemediği veya kaçırmadığı Web uygulamalarında meydana gelir. Kötü niyetli aktörler, bu girdi alanlarını kötü amaçlı komut dosyalarını uygulamaya eklemek ve yürütmek için kullanabilir ve bu da verileri manipüle etmelerine ve çalmalarına olanak tanır. XSS, MITRE’nin 2022’deki en tehlikeli 25 yazılım açığı listesinde ikinci sırada yer aldı ve ayrıca OWASP İlk 10OWASP’a göre, tüm uygulamaların yaklaşık üçte ikisinde XSS kusurları bulunuyor.
CISA listelendi Aşağıdaki öneriler:
-
Yazılı tehdit modellerini gözden geçirin
-
Yazılımın girdiyi hem yapı hem de anlam açısından doğruladığından emin olun
-
Çıktı kodlaması için kullanımı kolay işlevler sunan modern Web çerçevelerini kullanarak, doğru kaçış ve alıntılama sağlayın.
“[These] Uyarıda, “çerçeveler, her seferinde kullanıcı girdisinden doğru şekilde kurtulma yükünün geliştiricilere düşmemesini sağlar” denildi. Çerçeveler ayrıca, XSS güvenlik açıklarına yol açabilecek uç durumları önleme konusunda da kılavuza sahiptir. Ve Web çerçevelerinin kullanılamadığı durumlarda, ekipler Web uygulamalarındaki tüm kullanıcı girdilerinin doğru şekilde kaçırıldığından veya temizlendiğinden emin olmalıdır.
-
Kod kalitesini ve güvenliğini optimize etmek için düşmanca ürün testlerini uygulayın.
Uyarıda, “Üst düzey yöneticiler ve iş liderleri, ekiplerine bu kusurları ortadan kaldırmak için nasıl çalıştıklarını ve ürünlerinde tasarıma göre güvenli bir yaklaşım uygulayıp uygulamadıklarını sormalılar” denildi.
CISA, yazılım üreticilerini tasarıma göre güvenli ürünler göndermeye odaklanmaya teşvik etmek için Nisan 2023’te Secure by Design girişimini duyurdu. Yazılım üreticilerinin ürünlerine ilişkin güvenlik ayrıntılarını sağlamak için kullanabilecekleri bir öz-onay formu ve bir havuz bulunmaktadır. 60’tan fazla satıcı Tasarımla Güvenli sözleşmesini imzaladıuygulamaya yönelik taahhütlerini duyurarak yedi temel hedef (çok faktörlü kimlik doğrulamanın kullanılması, varsayılan parolaların azaltılması, belirli güvenlik açığı sınıflarının yaygınlığının azaltılması, yamaların iyileştirilmesi vb. gibi) CISA tarafından özetlenen
XSS uyarısı yedincidir Tasarım Uyarısı ile Güvenli CISA’dan. Bu uyarılar, etkili azaltmaların mevcut olmasına rağmen yazılımda devam eden güvenlik açıklarını vurgular. Temmuz uyarısı, yazılım şirketlerini yol işletim sistemi komut enjeksiyonu güvenlik açıklarını ortadan kaldırmaya çağırdı. Mayıs ve Mart uyarıları, yol geçişi ve SQL enjeksiyonu kusurlarını ortadan kaldırmaya odaklandı. Ocak ayında, CISA küçük ofis/ev ofis yönlendiricilerinin nasıl güvence altına alınacağına dair kılavuz onları ele geçirme girişimlerine karşı. Geçtiğimiz yılki uyarılar, şirketlerin varsayılan parolalar ve saldırılara karşı güvenli Web yönetim arayüzleri olan yazılım ve cihazları göndermeyi bırakmalarını önerdi.