MITRE: cross-site scripting gevaarlijkste kwetsbaarheid van 2024
Cross-site scripting is de gevaarlijkste kwetsbaarheid van 2024 en daarmee de nieuwe nummer één in de Top 25 gevaarlijkste kwetsbaarheden, aldus de MITRE Corporation die de lijst opstelt. De organisatie stelt jaarlijks een Top 25 vast van gevaarlijke kwetsbaarheden die veel in software voorkomen, eenvoudig zijn te vinden en misbruiken, en aanvallers de mogelijkheid geven om systemen volledig over te nemen, data te stelen of een denial of service uit te voeren.
Volgens MITRE biedt de Top 25 professionals een praktische en handige bron om risico's te mitigeren. Het gaat dan om programmeurs, testers, gebruikers, projectmanagers en beveiligingsonderzoekers. De Top 25 is gebaseerd op bijna 32.000 kwetsbaarheden die tussen 1 juni 2023 en 1 juni 2024 werden geregistreerd. Vervolgens werd er een scoreformule gebruikt om de ranking van elke kwetsbaarheid te bepalen. Deze formule kijkt hoe vaak de betreffende kwetsbaarheid voorkomt en de beoogde impact wanneer die wordt misbruikt.
Dit jaar kent de Top 25 een nieuwe nummer één, namelijk cross-site scripting, dat daarmee out-of-bounds write van de toppositie stoot. Deze klasse van kwetsbaarheden stond de afgelopen drie jaar bovenaan de lijst en maakt het mogelijk voor een aanvaller om een applicatie te laten crashen of code op het systeem uit te voeren. Cross-site scripting maakt het mogelijk voor een aanvaller om malafide scripts op websites of in webapplicaties te injecteren die dan in de browser van het slachtoffer worden uitgevoerd. Zo is het bijvoorbeeld mogelijk om cookies, session tokens en andere vertrouwelijke informatie te stelen.
Andere stijgers dit jaar zijn onder andere cross-site request forgery (CSRF) en path traversal. SQL-Injection, een andere bekende klasse van kwetsbaarheden, staat net als vorig jaar op de derde plek in de Top 25. Al deze problemen zijn al decennia bekend, maar komen nog steeds voor omdat programmeurs niet veilig programmeren en organisaties, leveranciers en bedrijven hun software niet laten testen. De Amerikaanse autoriteiten zijn inmiddels een initiatief gestart om zaken als SQL-Injection en path traversal uit te bannen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
