T. Venkat Narayana Rao, V. Tejaswini, K..Preethi
Les chercheurs ont mis au point plusieurs solutions pour lutter contre les scripts intersites, mais de nombreuses applications Web présentent encore des vulnérabilités en raison du manque d'expertise des développeurs en matière d'identification des problèmes et de leur méconnaissance des mécanismes actuels. Comme le déclarent les experts, les scripts intersites font partie des menaces les plus graves et les plus répandues dans les applications Web de nos jours, plus que les dépassements de tampon. Une étude récente montre que les XSS se classent au premier rang dans la liste des 25 erreurs logicielles les plus dangereuses du MITRE Common Weakness Enumeration (CWE)/SANS Institute et au deuxième rang dans l'Open Web Application Security Project (OWASP). Cependant, de nombreuses applications Web présentent encore des vulnérabilités en raison du manque de compréhension du problème par les développeurs et de leur méconnaissance des forces et des limites actuelles de la protection. Les techniques existantes de défense contre les exploits XSS souffrent de diverses faiblesses : limitations inhérentes, implémentations incomplètes, cadres complexes, surcharge d'exécution et exigences de travail manuel intensif. Les chercheurs en sécurité peuvent aborder ces faiblesses selon deux perspectives différentes. Ils doivent aller au-delà des techniques actuelles en intégrant des fonctionnalités de validation et de nettoyage des entrées plus efficaces. Avec le temps, les outils de développement intégreront des cadres de sécurité tels que ESAPI qui mettent en œuvre une technologie de pointe. Cet article se concentre sur la perspective de vérification des programmes, sur la manière dont les chercheurs doivent intégrer l'analyse des programmes, la reconnaissance des formes, les tests concoliques, l'exploration de données et les algorithmes d'IA pour résoudre différents problèmes d'ingénierie logicielle et améliorer l'efficacité de la détection des vulnérabilités. Se concentrer sur ces questions permettrait d'améliorer la précision des méthodes actuelles en acquérant des modèles de codes d'attaque auprès d'experts extérieurs dès qu'ils seront disponibles.