Las Agencias de Seguridad Cibernética y de Infraestructura (CISA) y el Buro Federal de Inestigación (FBI) de los Estados Unidos han publicado la alerta “Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities” para reducir la prevalencia de clases de vulnerabilidad a escala.
Las vulnerabilidades como las secuencias de comandos entre sitios (XSS) siguen apareciendo en el software, lo que permite a los actores de amenazas explotarlas. Sin embargo, las vulnerabilidades de scripts de sitios se pueden prevenir y no deberían estar presentes en los productos de software.
A pesar de haber tenido amplios conocimientos y soluciones efectivas para secuencias de comandos entre sitios vulnerabilidades durante más de veinte años, muchos fabricantes de software continúan lanzando productos con estos defectos, exponiendo así a los clientes a riesgos innecesarios.
En su alerta para Eliminar Vulnerabilidades de Secuencias de Comandos entre Sitios, las agencias CISA y FBI instan a los directores ejecutivos y líderes empresariales de los fabricantes de tecnología a ordenar a sus líderes/equipos técnicos que revisen los casos pasados de estos defectos y creen un plan estratégico para prevenirlos en el futuro.
Los productos que son seguros por diseño protegen razonablemente contra ciberataques maliciosos que explotan las clases más comunes y peligrosas de los defectos del producto. Incorporar la seguridad desde el principio, comenzando en la fase de diseño y continuando durante todo el desarrollo, lanzamiento y actualizaciones, reduce la carga para los clientes y el riesgo para el público. La comunidad de ciberseguridad ha considerado que las vulnerabilidades de autenticación fácilmente explotables son “imperdonables” desde 2007. A pesar de este hallazgo, las vulnerabilidades de secuencias de comandos entre sitios (muchas de las cuales son el resultado de CWE-79) siguen siendo una clase frecuente de defecto.
Consulte la alerta en Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities (PDF)