米国の主要なセキュリティ機関が、最も一般的なソフトウェア脆弱性の一つを排除するためのコーディングのベストプラクティスに関する認知を高めることを目的とした、タイムリーな助言を公開した。
FBIと連携し、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は昨日、ソフトウェアに現れるクロスサイトスクリプティング(XSS)バグの数を減らすことを目的として「Secure by Design Alert」を発出した。
同庁は「上級幹部やビジネスリーダーは、これらの欠陥を排除するためにチームがどのように取り組んでいるのか、また製品においてセキュア・バイ・デザインのアプローチを実装しているかどうかを、チームに問いかけるべきだ」と主張した。
CISAによれば、XSS脆弱性は、ベンダーが入力を適切に検証、サニタイズ、またはエスケープしない場合に発生する。これにより、悪意ある攻撃者がWebアプリケーションに悪意のあるスクリプトを注入し、それを悪用してデータを操作、窃取、または不正利用できるようになると警告した。
XSSについて詳しく読む:研究者がAzureサービスのXSS脆弱性を発見
アラートによると、ソフトウェア開発者の技術責任者は、次の方法により製品からXSSを排除するための戦略計画を策定しなければならない:
- 文書化された脅威モデルを見直す
- ソフトウェアが構造と意味の両方について入力を検証することを確実にする
- 適切な「エスケープ」または「クォート」を確実にするため、出力エンコーディングの使いやすい関数を提供する最新のWebフレームワークを使用する
- XSS脆弱性につながり得る残存するエッジケースを防ぐため、これらのフレームワークのガイダンスに従う
- (Webフレームワークが利用できない場合)Webアプリケーションで表示されるすべてのユーザー入力が適切なエスケープまたはサニタイズを受けることを確実にする
- コードレビューを実施する
- 開発ライフサイクル全体を通じてコードの品質とセキュリティを最適化するため、攻撃者視点の厳格な製品テストを実施する
FBIとCISAは結論として、「セキュア・バイ・デザインで安全な製品を構築するというコミットメントを示すために、ソフトウェアメーカーはSecure by Design Pledgeへの署名を検討すべきだ」と述べた。「この誓約は、署名者が測定可能な進捗を示すことにコミットする7つの主要目標を示しており、その中にはクロスサイトスクリプティングのようなシステム的な脆弱性クラスの削減も含まれる。」
翻訳元: https://www.infosecurity-magazine.com/news/cisa-advice-eliminate-xss-bugs/
