CISA Issues Advice to Help Eliminate XSS Bugs
2024/09/18 InfoSecurity — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と FBI は、最も一般的なソフトウェア脆弱性の1つを排除するコーディングの、ベスト・プラクティスに関する認識を高めることを目的とした、共同の Secure by Design Alert を公開した。9月18日に公開された、同アラート “Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities” は、ソフトウェアに現れる XSS (cross-site scripting )バグの数を減らすことを目的としている。
CISA と FBI は、「経営幹部およびビジネス・リーダーが、チームに対して尋ねるべきことは、これらの欠陥を排除するための取り組みや、自社製品への Secure by Design アプローチの導入についてである」と主張している。
XSS 脆弱性は、ベンダーが入力の検証/無害化/エスケープを適切に行わない場合に発生する。この種の脆弱性の悪用に成功した攻撃者は、Web アプリケーションに悪意のスクリプトを注入することで、データの操作/盗用/悪用を可能にすると、CISA は警告している。
この警告は、ソフトウェア開発企業の技術責任者は、以下のような方法で自社製品から XSS を排除する、戦略的な計画を策定すべきだとしている。
- 脅威モデルの文書化を見直す。
- ソフトウェアが構造と意味の両面で入力を検証することを保証する。
- 出力エンコード用の使いやすい機能を提供する、最新の Web フレームワークを使用し、適切なエスケープまたは引用を確保する。
- XSS 脆弱性につながる可能性のあるエッジケースを全て排除するために、これらのフレームワークのガイダンスに従う。
- Web アプリケーションに表示される全てのユーザー入力が、適切なエスケープまたはサニタイズ (Web フレームワークが利用できない場合) を確実に実行する。
- コード・レビューを実施する。
- 開発ライフサイクル全体を通じて、コードの品質とセキュリティを最適化するために、積極的な敵対的製品テストを実施する。
FBI と CISA は、「設計段階からセキュリティを確保した製品を構築するという取り組みを実証するために、ソフトウェア・メーカーは、設計段階からセキュリティを確保する誓約である Secure by Design Pledge への署名を検討すべきだ。この誓約では、署名者が XSS のようなシステム・クラスの脆弱性の削減を含む、測定可能な進捗状況を実証することを約束する、7つの主要目標が定められている」と締め括っている。
CISA と FBI による、とても素晴らしい取り組みですね。似たような話しとして、2024/05/02 の「CISA/FBI の共同警告:パス・トラバーサル脆弱性の出荷前の修正をベンダーに要請」もあります。よろしければ、CISA ページと併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.