消除跨站脚本漏洞的重要性

关键要点

• 美国网络安全及基础设施安全局（CISA）和联邦调查局（FBI）敦促组织在产品发货前消除跨站脚本（XSS）漏洞。
• XSS漏洞在应用程序中出现时，黑客可利用这些漏洞窃取数据。
• CISA提供了多项建议，帮助开发者加强软件安全。

CISA与FBI提醒所有组织，必须在产品发货前优先解决跨站脚本（XSS）漏洞。这些漏洞使得威胁角色能够利用软件中的安全缺陷，从而进行攻击。

“像跨站脚本（XSS）这样的漏洞仍然在软件中出现，这使得恶意演员能够利用它们，”这两个机构在他们的最新中透露。“XSS漏洞是可以预防的，不应该出现在软件产品中。”

XSS漏洞通常出现在Web应用中，因为开发者未能正确验证、过滤或转义输入。恶意行为者可以利用这些输入栏位插入和执行恶意脚本，从而操控和窃取数据。根据MITRE的2022年报告，XSS被评为25大最危险的软件缺陷中第二位，并且位于名单中。根据OWASP的数据，大约三分之二的所有应用中均存在XSS缺陷。

CISA列出了以下建议来改善软件安全性：

“高层主管和商业领导应该向团队询问他们如何消除这些缺陷，并了解他们是否在产品中实施了安全设计的做法，”该警报指出。

CISA于2023年4月推出了Secure byDesign倡议，以鼓励软件制造商重视安全设计的产品发货。软件制造商可以使用自我证明表格和资料库，提供关于产品安全性的信息。已经有超过60家供应商签署了，表示他们将应用CISA提出的，包括使用多重身份验证、减少预设密码、降低一些漏洞类别的出现率，以及改善补丁。

这次XSS警报是CISA发布的第七个。这些警报突显了在存在有效缓解措施的情况下仍持续存在的软件漏洞。7月的警报要求软件公司消除路径OS命令注入漏洞，而5月和3月的警报则集中于消除路径遍历和SQL注入缺陷。今年1月，CISA还提供了的指导，以防止被劫持。去年发出的警报建议企业停止发货带有预设密码的软件和设备，并确保Web管理接口的安全。