Търсене
Close this search box.

Американската агенция за киберсигурност CISA и ФБР издадоха предупреждение „Secure by Design“ относно разпространението на уязвимостите, свързани с кръстосани скриптове (XSS), в което призовават организациите да ги премахнат от своите продукти.

Двете агенции отбелязват в предупреждението (PDF), че XSS пропуските съществуват, тъй като потребителските данни не са правилно валидирани, обработени или избегнати, което позволява на заплахите да инжектират злонамерени скриптове в уеб приложенията, което води до манипулиране на данни, кражба или злоупотреба.

„Въпреки че някои разработчици използват техники за обработка на входните данни, за да предотвратят XSS уязвимостите, този подход не е безпогрешен и трябва да бъде подсилен с допълнителни мерки за сигурност“, отбелязват CISA и ФБР.

Двете агенции призовават организациите да „прегледат случаите на тези дефекти“ и да приложат планове за предотвратяването им в своите продукти.

На организациите се препоръчва да преглеждат писмените модели на заплахи, да гарантират, че софтуерът проверява входните данни както за структура, така и за смисъл, да извършват прегледи на кода, да прилагат противниково тестване на продуктите, за да проверяват качеството и сигурността на кода, и да използват съвременни уеб рамки, които осигуряват правилно избягване или цитиране.

Двете агенции твърдят, че съвременните уеб рамки могат да правят разлика между потребителския вход и кода на приложението, а използването им улеснява разработчиците да гарантират, че потребителският вход е правилно изведен. В противен случай правилното ескапиране и обработване на данните се извършва от разработчика.

„Висшите ръководители и бизнес лидерите трябва да попитат своите екипи как работят за отстраняване на тези дефекти и дали прилагат подхода „secure by design“ в своите продукти“, отбелязват CISA и ФБР.

Те също така съветват организациите да прилагат три принципа на secure by design, за да защитят продуктите си от XSS експлойти: поемане на отговорност за резултатите от сигурността на клиентите, приемане на радикална прозрачност и отчетност и изграждане на организационна структура и лидерство за постигане на тези цели.

„За да демонстрират ангажимента си да създават свои продукти, които са сигурни по дизайн, производителите на софтуер трябва да обмислят поемането на Обещанието за сигурност по дизайн. Обещанието определя седем ключови цели, към които подписалите го се ангажират да демонстрират измерим напредък, включително намаляване на системните класове уязвимости като cross-site scripting“, отбелязват двете агенции.

 

Източник: e-security.bg

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
01/10/2024

FERC очертава правила за си...

Федералната комисия за енергийно регулиране на...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!