Agência de Segurança Cibernética dos EUA e FBI solicitam que desenvolvedores eliminem vulnerabilidades de Cross-Site-Scripting

As agências recomendam que empresas de tecnologia revisem seus softwares para garantir que futuros lançamentos estejam livres dessa falha antes de chegarem ao mercado.

Ambas as entidades destacam que, embora sejam evitáveis, vulnerabilidades de XSS continuam presentes em softwares modernos, proporcionando oportunidades de exploração por agentes mal-intencionados, permitindo que scripts maliciosos sejam injetados em aplicações web, usados para manipular, roubar ou explorar dados em diferentes contextos.

A CISA também incentiva os executivos dessas empresas a realizarem revisões formais em seus produtos, adotando a abordagem "safe by design" — onde a segurança é incorporada desde o início do processo de desenvolvimento, em vez de tentar corrigir falhas de segurança após o software já ter sido desenvolvido.

Para evitar esses problemas em lançamentos futuros, a CISA e o FBI aconselham líderes técnicos a revisarem seus modelos de ameaça, garantindo que os softwares validem entradas tanto em termos de estrutura quanto de significado. Também recomendam a utilização de frameworks web modernos, com funções de codificação de saída embutidas para garantir o escape ou citação correta dos caracteres.

Vulnerabilidades de XSS ficaram em segundo lugar na lista das 25 fraquezas de software mais perigosas de 2021 e 2022, perdendo apenas para falhas de segurança de gravação fora dos limites (out-of-bounds write).