image

FBI wil einde aan cross-site scripting: hoort niet in software thuis

dinsdag 17 september 2024, 16:00 door Redactie, 7 reacties

Fabrikanten, softwarebedrijven en ontwikkelaars moeten ervoor zorgen dat hun producten geen cross-site scripting (XSS) bevatten. Dergelijke kwetsbaarheden zijn te voorkomen en horen niet in software thuis, zo stellen de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Beide overheidsinstanties hebben vandaag een 'Secure by Design Alert' afgegeven waarin ze oproepen om een einde aan cross-site scripting te maken.

Cross-site scripting is een beveiligingsprobleem dat al decennia bekend is en ervoor zorgt dat aanvallers bijvoorbeeld malafide code op een kwetsbare website of webapplicatie kunnen 'injecteren' die vervolgens in de browser van bezoekers wordt uitgevoerd. Zo is het bijvoorbeeld mogelijk om cookies te stelen en toegang tot een account te krijgen.

"Cross-site scripting kwetsbaarheden doen zich voor wanneer leveranciers invoer niet goed valideren, sanitizen of escapen. Dit zorgt ervoor dat aanvallers malafide scripts in webapplicaties kunnen injecteren, om zo data in verschillende contexten te manipuleren, stelen of misbruiken. Hoewel sommige ontwikkelaars input sanitization technieken toepassen om XSS-kwetsbaarheden te voorkomen, is deze aanpak niet onfeilbaar en moet met aanvullende beveiligingsmaatregelen worden versterkt", zo stellen de FBI en het CISA.

De Amerikaanse overheidsdiensten doen ook verschillende aanbevelingen om cross-site scripting te voorkomen, zoals het herschrijven van dreigingsmodellen, controleren dat software invoer goed valideert, het gebruik van moderne webframeworks, wanneer frameworks niet zijn te gebruiken het adequaat escapen en sanitizen van weergegeven gebruikersinvoer, uitvoeren van code-audits en het tijdens de ontwikkelcyclus uitvoeren van beveiligingstests.

Reacties (7)
17-09-2024, 17:06 door Anoniem
Welkom in de wereld van Little Bobby Tables. Dit soort awarenesscampagnes en uitspraken zet al 25+ jaar geen zoden aan de dijk. Zie de huidige staat van informatiebeveiliging in de wereld. Prima dat deze aanvalsvector weer wordt herhaald, maar verwacht alleen geen enkel positief effect. Zonder snoeiharde maatregelen blijven we dweilen met de kraan open.
17-09-2024, 17:54 door Anoniem
Menig (visitekaartje) website wordt bij elkaar geklikt door grafisch designers. Het is hen niet aan te rekenen dat ze van owasp niet gehoord hebben want hun doel is seo optimalisatie en de look en feel (huisstijl)
17-09-2024, 20:47 door Anoniem
het gebruik van moderne webframeworks,
Inderdaad zoals Django “batteries-included” en multiplatform.
18-09-2024, 08:11 door Anoniem
Het is treurig te zien dat we als collectief blijkbaar amper in staat zijn om te leren en nog steeds massaal code schrijven die kwetsbaar is voor XSS en SQLi. Beide methodes zijn inmiddels tientallen jaren oud en vaak nog steeds effectief.

De hamvraag is natuurlijk: Wat kunnen we doen om te zorgen dat we wél gaan leren en die soort basisfouten niet meer maken?
18-09-2024, 08:13 door Anoniem
Door Anoniem: Welkom in de wereld van Little Bobby Tables. Dit soort awarenesscampagnes en uitspraken zet al 25+ jaar geen zoden aan de dijk. Zie de huidige staat van informatiebeveiliging in de wereld. Prima dat deze aanvalsvector weer wordt herhaald, maar verwacht alleen geen enkel positief effect. Zonder snoeiharde maatregelen blijven we dweilen met de kraan open.

Wat hadden ze dan moeten doen? Gewoon lekker doorgaan op bestaande voet?

Schreeuwen aan de zijlijn is altijd makkelijk, maar zelden worden er andere oplossingen voorgedragen.
18-09-2024, 17:52 door Anoniem
Door Anoniem:
De hamvraag is natuurlijk: Wat kunnen we doen om te zorgen dat we wél gaan leren en die soort basisfouten niet meer maken?
In de wet regelen dat het bedrijf dat de XSS kwetsbaarheid heeft geintroduceerd volledig (ongelimiteerd) aansprakelijk is voor geleden schade?

Reken maar dat bedrijven dan ineens beter hun best gaan doen!
En dan zullen er een heel stel failliet gaan. Prima! daar leert de rest dan van.

Je ziet het met GDPR.
We hadden in Nederland al lang soortgelijke wetgeving, maar de boetes waren zeer gering. En er werd niet op gehandhaafd. Dus niemand die zich er druk om maakte.
Maar door de zeer hoge boetes van GDPR en enige handhaving werden bedrijven bang en gingen ze het wel serieus nemen.

Zachte heelmeesters maken stinkende wonden.

Het is belachelijk dat dit soort bekende kwetsbaarheden die makkelijk voorkomen kunnen worden nog steeds zoveel problemen veroorzaken.
18-09-2024, 19:22 door Anoniem
Door Anoniem:
Door Anoniem: Welkom in de wereld van Little Bobby Tables. Dit soort awarenesscampagnes en uitspraken zet al 25+ jaar geen zoden aan de dijk. Zie de huidige staat van informatiebeveiliging in de wereld. Prima dat deze aanvalsvector weer wordt herhaald, maar verwacht alleen geen enkel positief effect. Zonder snoeiharde maatregelen blijven we dweilen met de kraan open.

Wat hadden ze dan moeten doen? Gewoon lekker doorgaan op bestaande voet?

Schreeuwen aan de zijlijn is altijd makkelijk, maar zelden worden er andere oplossingen voorgedragen.

Dat lekker doorgaan op bestaande voet doen we al 25+ jaar, daar zal deze opmerking geen enkele verandering in brengen. Dus ja, we gaan gewoon lekker door.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.