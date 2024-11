Cross-site scripting is de gevaarlijkste kwetsbaarheid van 2024 en daarmee de nieuwe nummer één in de Top 25 gevaarlijkste kwetsbaarheden, aldus de MITRE Corporation die de lijst opstelt. De organisatie stelt jaarlijks een Top 25 vast van gevaarlijke kwetsbaarheden die veel in software voorkomen, eenvoudig zijn te vinden en misbruiken, en aanvallers de mogelijkheid geven om systemen volledig over te nemen, data te stelen of een denial of service uit te voeren.

Volgens MITRE biedt de Top 25 professionals een praktische en handige bron om risico's te mitigeren. Het gaat dan om programmeurs, testers, gebruikers, projectmanagers en beveiligingsonderzoekers. De Top 25 is gebaseerd op bijna 32.000 kwetsbaarheden die tussen 1 juni 2023 en 1 juni 2024 werden geregistreerd. Vervolgens werd er een scoreformule gebruikt om de ranking van elke kwetsbaarheid te bepalen. Deze formule kijkt hoe vaak de betreffende kwetsbaarheid voorkomt en de beoogde impact wanneer die wordt misbruikt.

Dit jaar kent de Top 25 een nieuwe nummer één, namelijk cross-site scripting, dat daarmee out-of-bounds write van de toppositie stoot. Deze klasse van kwetsbaarheden stond de afgelopen drie jaar bovenaan de lijst en maakt het mogelijk voor een aanvaller om een applicatie te laten crashen of code op het systeem uit te voeren. Cross-site scripting maakt het mogelijk voor een aanvaller om malafide scripts op websites of in webapplicaties te injecteren die dan in de browser van het slachtoffer worden uitgevoerd. Zo is het bijvoorbeeld mogelijk om cookies, session tokens en andere vertrouwelijke informatie te stelen.

Andere stijgers dit jaar zijn onder andere cross-site request forgery (CSRF) en path traversal. SQL-Injection, een andere bekende klasse van kwetsbaarheden, staat net als vorig jaar op de derde plek in de Top 25. Al deze problemen zijn al decennia bekend, maar komen nog steeds voor omdat programmeurs niet veilig programmeren en organisaties, leveranciers en bedrijven hun software niet laten testen. De Amerikaanse autoriteiten zijn inmiddels een initiatief gestart om zaken als SQL-Injection en path traversal uit te bannen.