Modern uygulamaları rahatsız eden tüm güvenlik açıklarından, siteler arası komut dosyası (XSS) en eski ve en kalıcı olanlardan biridir.
Yirmi yılı aşkın bir süredir bilinen bir tehdit olmasına rağmen, XSS eski sistemlerden yeni, bulut yerli mimarilere kadar her şeyde görünmeye devam ediyor.
Microsoft Güvenlik Müdahale Merkezi (MSRC) son zamanlarda bu tehdidin kalıcı doğasını vurguladı ve geniş hizmet ve uygulamalarında düzenli bir XSS raporu akışı almaya devam ettiğini ortaya koydu.
Yakın tarihli bir raporda, MSRC, XSS güvenlik açıklarının yaygınlığı ve etkisi hakkında görüşler paylaştı ve içerik güvenliği politikaları (CSP) ve varsayılan kütüphaneler gibi gelişmiş güvenlik önlemleri ile bile tehdidin önemli olduğunu vurguladı.
Ocak 2024’ten bu yana, MSRC 970 XSS vakasını azalttı ve bu güvenlik açığı sınıfını yönetmek için gereken tutarlı çabayı gösterdi.
XSS Sayılarla
Temmuz 2024 ve Temmuz 2025 arasında, XSS güvenlik açıkları MSRC tarafından ele alınan tüm “önemli” veya “kritik” güvenlik davalarının% 15’ini oluşturmuştur.
Bu dönemde, merkez 263 spesifik XSS vakasına hitap etti, 263’ü önemli ve ikisi kritik olarak derecelendirildi. Bu kusurları keşfeden güvenlik araştırmacılarının tanınması için Microsoft, XSS güvenlik açıkları için toplam 912.300 dolarlık ödül verdi.
Token hırsızlığı veya sıfır tıkaç istismarını içeren yüksek etkili bir XSS saldırısı için ödenen en yüksek tek ödül 20.000 dolardı.
Bu güvenlik açıkları tek bir ürünle sınırlı değildi, ancak Microsoft’un ana hizmetlerinde çok çeşitli bildirildi.
Microsoft Copilot, Microsoft 365, Dynamics 365, Microsoft Identity, Microsoft Azure ve Xbox için ödül programları XSS gönderimleri aldı.
Raporlar, hem iç hem de dış araştırmacılardan gelen raporlar, sıklıkla sanitizasyon mantığını atlamak ve modern web çerçevelerindeki davranışlardan yararlanmak için ayrıntılı yöntemler.
XSS’nin etkisi
Tüm XSS güvenlik açıkları aynı riski taşımaz. Microsoft, sorunları müşteriler üzerindeki gerçek dünyadaki etkilerine dayanarak önceliklendirir.
Veri maruz kalma potansiyeli, bir istismar için gereken kullanıcı etkileşimi seviyesi ve genel sömürülebilirlik gibi faktörler bir güvenlik açığının şiddetini belirler.
MSRC, bir önem derecesi atamak için veri sınıflandırmasını istismar koşullarıyla birleştiren bir matris kullanır.
- Kritik Şiddet: Oturum jetonları veya hassas çerezler gibi son derece gizli verileri tehlikeye atan sıfır tıkalı bir XSS kritik olarak derecelendirilir.
- Önemli Şiddet: Bir XSS bazı kullanıcı etkileşimi gerektiriyorsa, ancak yine de gizli bilgileri ortaya çıkarabiliyorsa, genellikle önemli olarak derecelendirilir.
- Orta/Düşük Şiddet: Hassas veri maruziyeti olmayan kamu sayfalarındaki XSS veya kullanıcının kendilerine saldırıyı (Self XSS) gerçekleştirmesini gerektiren senaryolar daha düşük bir ciddiyet olarak kabul edilir.
Microsoft ayrıca hangi XSS güvenlik açıklarının hizmet için kapsam dışında kabul edildiğini de açıkladı.
Bunlar, bir kullanıcının tarayıcının geliştirici konsoluna manuel olarak yapıştırmasını gerektiren Self XSS ve yalnızca Internet Explorer gibi standart olmayan veya modası geçmiş tarayıcılarda yürütülen güvenlik açıklarını içerir.
Benzer şekilde, bir PDF’nin kısıtlı ortamındaki JavaScript yürütme, daha ayrıcalıklı bir bağlamdan kaçamadıkça tipik olarak hak kazanmaz.
Güvenlik araştırmacılarına yardımcı olmak için MSRC, XSS raporlarını göndermek için bir kontrol listesi sağladı, net, tekrarlanabilir adımlar, geliştirici araçları olmadan çalışan bir kavram kanıtı ve jeton hırsızlığı veya oturum kaçırma gibi güvenlik etkisinin ayrıntılı bir açıklamasını vurguladı.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.