美国网络安全局CISA和FBI针对普遍存在的XSS漏洞发布“设计即安全”的警告，督促组织机构消除产品中的XSS漏洞。

XSS漏洞即跨站点脚本漏洞，CISA和FBI指出，这些漏洞存在的原因是未对用户输入进行正确验证、清理或逃逸，因此导致威胁行动者将恶意脚本注入 web 应用中，从而导致数据操纵、盗取或滥用。

CISA和FBI指出，“尽管一些开发人员使用了输入清理技术来阻止XSS漏洞但这种方法并非一劳永逸，应当通过额外的安全措施进行强化。”它们督促组织机构“审计这些缺陷实例”并执行计划，阻止产品中的XSS漏洞。

CISA和FBI建议组织机构审计所写的威胁模型，确保对软件的结构和意义都进行验证、开展代码审计、执行竞对产品测试以验证代码质量和安全，并使用现代 web 框架确保正确的转义或引用。

FBI和CISA提到，“高管和业务领导应当询问团队如何消除这些缺陷以及是否在产品中实现了设计即安全的方法。”它们同时建议组织机构执行这些设计即安全原则，保护产品免受XSS利用攻击：成为客户安全结果的主人，拥抱快速变化的透明度和责任，并构建组织结构和领导力来实现这些目标。

FBI和CISA提到，“为了展示对构建设计即安全产品的承诺，软件制造商应当考虑做出设计即安全承诺。该承诺表明签署方展现实现七个目标做出的可衡量进步，包括减少如XSS这样的系统性漏洞类型。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~