Ondanks dat Cross-Site Scripting (XSS) inmiddels al ruim twintig jaar een bekende vorm van kwetsbaarheden is, blijft dit een belangrijk aandachtspunt. Microsoft meldt nog altijd veel meldingen van XSS-kwetsbaarheden te ontvangen voor zijn diensten. Het gaat daarbij niet alleen om XSS-problemen in legacy-software, maar ook in nieuwe apps.

Microsoft meldt in een blogpost dat 15% van alle kritieke meldingen die het Microsoft Security Response Center (MSRC) in de periode juli 2024 tot en met juli 2025 heeft behandeld gerelateerd waren aan XSS. In totaal pakte het team 265 XSS-kwetsbaarheden op, waarvan er 263 als belangrijk zijn geclassificeerd en twee als kritiek.

In totaal betaalde het bedrijf 912.300 dollar uit voor bug meldingen gerelateerd aan XSS-kwetsbaarheden. Voor de meest ernstige kwetsbaarheden loofde Microsoft een beloning van 20.000 dollar uit. Denk hierbij aan kwetsbaarheden die het mogelijk maken om tokens te stelen of zero-click-aanvallen uit te voeren.

Microsoft meldt ook dat XSS-kwetsbaarheden via een brede reeks bugbounty-programma's zijn gerapporteerd. Denk hierbij aan het Microsoft Copilot Bounty Program, Microsoft 365 Bounty Program, Microsoft Dynamics 365 & Power Platform Bounty Program, Microsoft Identity Bounty Program, Microsoft Azure Bounty Program en het Xbox Bounty Program.

"Niet alle XSS-kwetsbaarheden brengen hetzelfde risiconiveau met zich mee voor klanten. Bij Microsoft geven we prioriteit aan casusspecifieke factoren die direct invloed hebben op de beveiliging van klanten, zoals de mogelijkheid tot misbruik, gevoeligheid van gegevens, vereiste gebruikersinteractie en de daadwerkelijke impact in de praktijk. Het uitgangspunt achter onze beoordeling is eenvoudig: risico’s verminderen waar het het meest relevant is voor onze klanten", schrijft Microsoft.