Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Sicherheit von Anfang an: CISA und FBI bekämpfen Cross-Site-Scripting

Du musst Regestriert sein, um das angehängte Bild zusehen.
Die US-amerikanischen Sicherheitsbehörden CISA und FBI setzen sich gezielt mit den Sicherheitslücken im Entwicklungsprozess auseinander, insbesondere mit Cross-Site-Scripting.

Die Initiative "Sicherheit von Anfang an" erhält Unterstützung von den US-amerikanischen Sicherheitsbehörden CISA und FBI, die sich diesmal den Sicherheitslücken im Zusammenhang mit Cross-Site-Scripting (XSS) widmen.

In dem entsprechenden Faktenblatt von CISA und FBI diskutieren die Sicherheitsbehörden, wie bösartige Cyberkriminelle Systeme durch Cross-Site-Scripting gefährden.
Das Ziel ist es, diese Art von Schwachstellen seltener auftreten zu lassen.
Obwohl Schwachstellen wie Cross-Site-Scripting immer wieder auftreten und von Kriminellen ausgenutzt werden können, sind sie vermeidbar und sollten in Software-Produkten nicht vorkommen.

Ursachen für Cross-Site-Scripting-Schwachstellen

Die Autoren erklären, dass Cross-Site-Scripting auftritt, wenn Hersteller die vom Benutzer kontrollierten Eingaben nicht überprüfen, bereinigen und filtern.
Dadurch können Angreifer bösartige Skripte in Webanwendungen einschleusen und diese missbrauchen, um Daten über verschiedene Kontexte hinweg zu manipulieren, stehlen oder missbrauchen.
Obwohl einige Entwickler Filtertechniken zur Vermeidung von XSS-Schwachstellen implementieren, sind diese Ansätze nicht fehlerfrei und sollten durch zusätzliche Sicherheitsmaßnahmen verstärkt werden.

Es wird empfohlen, dass technische Leiter Maßnahmen ergreifen, um solche Schwachstellen zu verhindern, beispielsweise durch die Überprüfung ihrer Bedrohungsmodelle und die Sicherstellung, dass die Software Eingaben sowohl auf Struktur als auch auf Bedeutung prüft.
Außerdem sollten sie moderne Web-Frameworks verwenden, die einfach zu bedienende Funktionen für die Codierung von Ausgaben bieten und eine korrekte Filterung sicherstellen.
Diese Frameworks unterscheiden zwischen Benutzereingaben und Anwendungscode, um sicherzustellen, dass Entwickler nicht jede Eingabe manuell überprüfen müssen.
Bei der Nutzung von älteren Web-Frameworks sollten Entwickler sicherstellen, dass alle Benutzereingaben, die in Webanwendungen angezeigt werden, ordnungsgemäß gefiltert und überprüft werden.

Zusätzlich sollten Code-Reviews und strenge Tests durchgeführt werden, um die Qualität und Sicherheit des Codes während des gesamten Entwicklungszyklus sicherzustellen.
Wie in den "Sicherheit von Anfang an"-Richtlinien üblich, schließen sich an diese konkreten Entwicklungspraktiken Hinweise für das Management an.
Das Management muss Verantwortung übernehmen, Transparenz schaffen und gegebenenfalls die Organisationsstrukturen anpassen, um diese Sicherheitsziele zu erreichen.

Auf der mWise-Konferenz von Mandiant äußerte sich Jen Easterly, Leiterin der CISA, sehr klar zu diesem Thema.
Sie betonte, dass Sicherheitslücken nicht als "Software-Schwachstellen" bezeichnet werden sollten, da dies die Verantwortung verschleiere.
Easterly schlug vor, stattdessen von "Produktfehlern" zu sprechen, was auch in den Richtlinien der "Sicherheit von Anfang an"-Reihe für Softwareentwickler zum Ausdruck kommt.
Zuletzt haben sich die Behörden mit einer anderen Art von Sicherheitslücke befasst: der "Einschleusung von Befehlen", genauer gesagt OS-Command-Injection.
 
Zurück
Oben