'Cross-site scripting' staat bovenaan Mitres top 25 van kwetsbaarheden

Cross-site scripting staat dit jaar bovenaan de top 25 met gevaarlijkste en meestvoorkomende kwetsbaarheden. De lijst wordt jaarlijks opgesteld door Mitre, de organisatie die kwetsbaarheden categoriseert en de belangrijkste bron is van cve-nummers die aan bugs worden toegekend.

Mitre heeft zijn top 25 van 2024 gebaseerd op de 31.000 kwetsbaarheden die tussen juni 2023 en juni 2024 naar buiten kwamen, schrijft het in een aankondiging. Het gaat om fouten, zwakke plekken en andere bugs in de code, architectuur, implementatie of het ontwerp van software.

Dit jaar staat crosssitescripting weer op de eerste plek, waarmee de geheugenfout out-of-bounds write na drie jaar van de toppositie stoot. Crosssitescripting, of XSS, is een kwetsbaarheid waarbij aanvallers malafide code in een website of applicatie injecteren. Vervolgens wordt die code in de browser van het slachtoffer uitgevoerd. Dergelijke aanvallen zijn relatief eenvoudig uit te voeren, wat kan verklaren dat deze kwetsbaarheid bovenaan de lijst staat.

In de top vijf staan verder SQL injection, cross-site request forgery - waarmee een doelwit gedwongen wordt om ongewenste acties uit te voeren in een webapp - en path traversal, waarbij ongeoorloofde toegang verkregen wordt tot bestanden en mappen. De volledige top 25 is te bekijken op de website van Mitre.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 21-11-2024 14:56
22 • submitter: Anonymoussaurus

21-11-2024 • 14:56

22

Submitter: Anonymoussaurus

Lees meer

EU introduceert EUVD-database met informatie over kwetsbaarheden
EU introduceert EUVD-database met informatie over kwetsbaarheden Nieuws van 14 mei 2025
Amerikaans cybersecurityagentschap redt CVE-programma met financiering
Amerikaans cybersecurityagentschap redt CVE-programma met financiering Nieuws van 16 april 2025
Beheer van CVE-bugs komt in gevaar door verlopen contract met Mitre Corporation
Beheer van CVE-bugs komt in gevaar door verlopen contract met Mitre Corporation Nieuws van 16 april 2025
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP Nieuws van 18 november 2024
Microsoft pauzeert update voor spoofingkwetsbaarheid in Exchange Server
Microsoft pauzeert update voor spoofingkwetsbaarheid in Exchange Server Nieuws van 15 november 2024
Elf jaar oude ASUS RT-AC68U-router krijgt nog software-update
Elf jaar oude ASUS RT-AC68U-router krijgt nog software-update Nieuws van 15 november 2024
'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit'
'Meeste kwetsbaarheden in 2023 werden aanvankelijk als zerodays uitgebuit' Nieuws van 13 november 2024
Microsoft dicht vier zerodays op Patch Tuesday, waarvan twee actief misbruikt
Microsoft dicht vier zerodays op Patch Tuesday, waarvan twee actief misbruikt Nieuws van 13 november 2024
Aanvallers gebruiken samengevoegde zipbestanden om malware te verspreiden
Aanvallers gebruiken samengevoegde zipbestanden om malware te verspreiden Nieuws van 12 november 2024
Okta-gebruikers met lange gebruikersnaam konden inloggen zonder wachtwoord
Okta-gebruikers met lange gebruikersnaam konden inloggen zonder wachtwoord Nieuws van 3 november 2024
QBittorrent krijgt update die veertien jaar oude kwetsbaarheid verhelpt
QBittorrent krijgt update die veertien jaar oude kwetsbaarheid verhelpt Nieuws van 1 november 2024
Synology dicht ernstige kwetsbaarheid in nasapparaten, ontdekt door Nederlander
Synology dicht ernstige kwetsbaarheid in nasapparaten, ontdekt door Nederlander Nieuws van 1 november 2024
Meer producten en artikelen
Beveiliging en antivirus Security

Reacties (22)

-Moderatie-faq
22
22
11
0
0
8
Wijzig sortering
PdeBie 21 november 2024 15:12
Hoe kan het dat SQL Injection nog steeds zo hoog staat? Inmiddels gebruikt iedereen toch wel een ORM of iets dergelijks?
xFeverr @PdeBie21 november 2024 15:16
Afhankelijk van welk type ORM je gebruikt, en daarbinnen zelfs ook nog hoe je het ORM gebruikt, moet je nog steeds je queries zelf schrijven, waarna het mappen naar objecten dus daarna gebeurt. Dat is waar ORM uiteindelijk voor staat.

Maar dit moet inmiddels zo ingeprent zitten dat het gewoon pijn moet doen om SQL injection mogelijk te maken. Ik kan het in ieder geval niet zonder dat er in mijn hoofd een reeks alarmbellen af gaat.
com2,1ghz @PdeBie21 november 2024 15:18
Omdat je met een ORM ook kan falen als je je input niet sanitized of je geen prepared statements gaat gebruiken. Of prepared statements waar je alsnog string concatenation doet je alsnog een SQL Injection probleem hebt.
DJMaze @PdeBie21 november 2024 18:56
Omdat niemand meer weet wie Bobby Tables is...
https://xkcd.com/327/
paella @PdeBie21 november 2024 15:22
De vraag stellen is 'm beantwoorden. ;)
Killemov @PdeBie21 november 2024 18:36
Ik heb jarenlang met diverse ORM-producten gewerkt om uiteindelijk tot de conclusie te komen dat ze maar zelden iets toevoegen. Dat gemap van data waar nauwelijks bewerkingen op plaatsvinden is niet efficiënt en je wordt wel in een keurslijf gedwongen. Ik ben wel nieuwsgierig naar welke standaardpakketten nog vatbaar zijn voor dit type aanval.
Ricco02 21 november 2024 15:19
Hoe kan ik mijn eigen applicatie het beste testen hiertegen?
MiesvanderLippe @Ricco0221 november 2024 15:31
Een strikte content security policy instellen en afscheid nemen van inline scripts.
Ricco02 @MiesvanderLippe21 november 2024 17:05
Dat zijn maatregelen die ik al genomen heb. Ik vraag specifiek om het testen ervan.
Sanderluc @MiesvanderLippe22 november 2024 07:06
Het is absoluut belangrijk om ‘unsafe-inline’ niet toe te staan. Helaas zie ik regelmatig Content-Security-Policies (CSP’s) waarin dit toch wordt toegestaan. Daarnaast raad ik sterk aan om cookies op httpOnly te zetten. Dit maakt het aanzienlijk lastiger om account-sessies via JavaScript te stelen.

Het gebruik van ‘self’ (om code vanuit je eigen domein toe te staan) en het expliciet vastleggen van URL’s van vertrouwde domeinen is zeker aan te raden. Verder raad ik aan om de integrity-hash van JavaScript-code te controleren. Dit is vooral handig in situaties waarin JavaScript-code gecompromitteerd kan worden, aangezien dit anders zou kunnen leiden tot client-side backdoors in je website. (Vaak zie je dit als je code van verschillende domeinen toestaat)

Daarnaast is het cruciaal om alle data correct te filteren om XSS-aanvallen. Ik kom regelmatig situaties tegen waarin een CSP-policy door laksheid na verloop van tijd niet meer correct wordt toegepast. Dit gebeurt vaak omdat men er niet zorgvuldig mee omgaat vaak omdat er dependencies aan een project worden toegevoegd. Hierdoor wordt bijvoorbeeld ‘unsafe-inline’ alsnog toegestaan. Dergelijke nalatigheid zorgt ervoor dat CSP’s vaak een groot deel van hun meerwaarde verliezen.
Groax @Ricco0221 november 2024 15:25
Je kan altijd een Pentest laten uitvoeren, verder alles testen en zorgen dat een gebruiker niet kan beinvloeden wat er in de achterkant gebeurt.
d3burt @Ricco0222 november 2024 15:05
OWASP geeft een aantal tools op hun pagina over XSS testing.

Maar de beste verdediging blijft een framework te gebruiken wat dit soort beveiligingen standaard doet, zoals Rails of Django.

Als je een geautomatiseerd tool gebruikt om te testen, hou er dan rekening mee dat er in korte tijd enorm op je server gehamerd wordt. Het kan echt een stress test zijn.
Dreamvoid 21 november 2024 15:09
Tip: installeer noscript en schakel (bijna) alle Javascript uit, browsing wordt zoveel sneller, veiliger en rustiger
DdeM @Dreamvoid21 november 2024 15:16
Hoe gaat dat dan met websites die voor letterlijk alles Javascript nodig hebben? Wat er helaas ook steeds meer worden :|
Dreamvoid @DdeM21 november 2024 15:22
dan zet je enkel voor het hoofd domein JS aan, niet voor de tientallen onbekende domeinen waar in 99 van de 100 gevallen de gevaarlijke content vandaan komt.

[Reactie gewijzigd door Dreamvoid op 21 november 2024 15:23]

Coy @Dreamvoid21 november 2024 15:49
Je doelt volgens mij op het client-side implementeren van CSP headers?
Dreamvoid @Coy21 november 2024 15:54
Nee, gewoon geen JS uitvoeren die niet bij een opt-in domein vandaan komt.
Coy @Dreamvoid21 november 2024 16:11
Dat is volgens mij wat CSP bereikt? Misschien begrijp ik ze verkeerd, maar afaik bepalen CSP headers vanaf welke plekken scripts ingeladen mogen worden, waarbij oa unsafe inline XSS mogelijk maakt, maar je kan ook domein whitelisten ie *.google.com.

Jouw voorstel is om de client niet toe te staan javascript in te laden tenzij het een whitelisted domein betreft, wat een stap in de goede richting is omdat je dan geen externe ongein van bijv. polyfill kan inladen, maar volgens mij verhelpt dat het probleem niet als het gebruik maakt van een inline scripts waarbij een aanvaller bijv. in een comment sectie zoals deze een script plaatst, omdat de herkomst in principe hetzelfde whitelisted domein is?

edit: ik noem specifiek polyfill omdat dit een mooi, veelgebruikt voorbeeld is van een aanval waarbij werken met een nonce niet kan gezien het script op maat gebouwd wordt. Tevens lijkt me het administreren van nonces een flinke klus :)

[Reactie gewijzigd door Coy op 21 november 2024 16:14]

arbraxas @Coy21 november 2024 20:05
Het verhelpt het probleem niet, maar de gevolgen wel. Dat is als "eindgebruiker" van een website denk ik wel je hoofddoel.

Ik ben in elk geval groot voorstander van noscript. Het voorkomt zoveel gedonder (en reclame als bijvangst)
Oon @Dreamvoid21 november 2024 15:16
Het probleem is dat steeds meer websites gewoon niet werken zonder JS. Veel zijn er tegenwoordig in React of Vue geschreven en dan heb je alleen een lege kale pagina, anderen gebruiken JS om dynamisch content te laden.
Zo hou je niet veel over en ben je heel veel dingen tóch toestemming aan het geven.
Blasterxp 21 november 2024 16:26
Valt CORS hier onder?
Bij Chatgpt.com en auth.openai.com gaat het bij mij mis.
"Welkom terug" , "Er is iets mis gegaan met SSO".
Na het invoeren van een mailadres - krijg je geen paswoord veld.
Robin94 @Blasterxp21 november 2024 17:20
Nee Cross site scripting is uitvoeren van javascript op iemands anders website. Bijvoorbeeld ik zorg ervoor dat er een stuk javascript wordt uitgevoerd op tweakers waardoor jou cookies naar mij toe gestuurd worden.

Cors is een header waarmee websites kunnen aangeven dat request naar rabobank.nl/api alleen vanaf rabobank.nl mogen komen, De browser blokkeert het request dan wanneer tweakers.net een request stuurt naar rabobank.nl/api

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq