Secure by Design: CISA und FBI wollen Cross-Site-Scripting den Garaus machen
Die US-amerikanischen Sicherheitsbehörden CISA und FBI knöpfen sich Cross-SIte-Scripting-Lücken im Entwicklungsprozess vor.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die "Secure by Design"-Reihe hat von den US-amerikanischen Sicherheitsbehörden CISA und FBI einen weiteren Eintrag bekommen. Dieses Mal werfen die Behörden einen Blick auf Cross-Site-Scripting-Sicherheitslücken (XSS).
In dem zugehörigen Fact Sheet von CISA und FBI erörtern die Sicherheitseinrichtungen, dass bösartige Cyber-Akteure Systeme mittels Cross-Site-Scripting kompromittieren. Es gehe darum, diesen Schwachstellen-Typ im großen Maßstab seltener auftreten zu lassen. Schwachstellen wie Cross-Site-Scripting treten immer wieder auf und ermöglichen Kriminellen, sie zu missbrauchen – seien jedoch vermeidbar und sollten in Software-Produkten daher nicht auftreten.
Ursachen von Cross-Site-Scripting-Lücken
Cross-Site-Scripting trete auf, wenn Hersteller von Nutzern kontrollierbare Eingaben nicht überprüfen, bereinigen und filtern, erklären die Autoren. Dadurch können Bedrohungsakteure bösartige Skripte in Web-Apps einschleusen und sie missbrauchen, um Daten über unterschiedliche Kontexte hinweg zu manipulieren, stehlen oder missbrauchen. Obgleich einige Entwickler Eingabefilterung-Techniken zur Vermeidung von XSS-Lücken umsetzten, seien diese Ansätze nicht unfehlbar und sollten mit zusätzlichen Sicherheitsmaßnahmen verstärkt werden.
Die technischen Führungskräfte sollten demnach zur Prävention solcher Lücken etwa ihre Bedrohungsmodelle überprüfen und sicherstellen, dass die Software Eingaben sowohl bezüglich Struktur als auch Bedeutung überprüft. Zudem sollen sie auf moderne Web-Frameworks setzen, die einfach zu nutzende Funktionen für Ausgaben-Kodierung bieten und korrekte Filterung sicherstellen. Das geschehe dort etwa durch Unterscheidung von Nutzereingaben und Anwendungscode. Die Frameworks sorgten dafür, dass Entwickler nicht jede einzelne Eingabe selbst filtern und prüfen müssten; allerdings müssen Programmierer dafür die Anleitung des Frameworks beachten, um auch Grenzfälle abzufangen, die zu XSS-Lecks führen könnten.
Sollte kein modernes Web-Framework genutzt werden können, müssten Entwickler sicherstellen, dass alle Nutzereingaben, die in Web-Apps angezeigt werden, ordentlich gefiltert und geprüft werden. Außerdem seien Code-Reviews unabdingbar, ebenso wie die Umsetzung von aggressiven und "bösartigen" Produkttests zum Sicherstellen von Qualität und Sicherheit des Codes – den ganzen Entwicklungszyklus hindurch.
An diese konkreten Tipps für den Entwicklungsprozess schließen sich wie bei den "Secure by Design"-Ratgebern üblich die Hinweise an das Management an. Dieses müsse Verantwortung übernehmen, Transparenz herstellen und die Strukturen zum Erreichen dieser Sicherheitsziele gegebenenfalls umbauen.
Auf der mWise-Konferenz von Mandiant wurde Jen Easterly, Chefin der CISA, sehr deutlich über ihre Sicht der Dinge: Sicherheitslücken als "Software-Schwachstellen" zu betiteln sei zu milde und "verwischt in Wirklichkeit die Verantwortung. Wir sollten sie 'Produktfehler' nennen". Diese Sichtweise findet sich auch in den Handreichungen für Softwareentwickler wieder, die die Dokumente der "Secure by Design"-Reihe darstellen. Zuletzt hatten die Behörden sich den Sicherheitslücken-Typ "Einschleusen von Befehlen"; genauer OS-Command-Injection, vorgeknöpft.
(dmk)