Wikipedia

Cross-site scripting: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
ValterVBot (discussione | contributi)
Bot
691 940 modifiche
m Bot: Elimino interlinks vedi Wikidata
Nessun oggetto della modifica
Riga 1:
{{S|sicurezza informatica|Internet}}
 
Il '''Cross-site scripting''' ('''XSS''') è una [[vulnerabilità]] che affligge [[Web dinamico|siti web dinamici]] che impiegano un insufficiente controllo dell'input nei [[form]]. Un XSS permette ad un [[Cracker]] di inserire od eseguire codice lato serverclient al fine di attuare un insieme variegato di attacchi quali ad esempio: raccolta, manipolazione e reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server, alterazione del comportamento dinamico delle pagine web ecc... Nell'accezione odierna, la tecnica ricomprende l'utilizzo di qualsiasi linguaggio di scripting lato client tra i quali JavaScript, VBScript, Flash, HTML e SQL.
 
Secondo un rapporto di [[Symantec]] nel [[2007]] l'80% di tutte le violazioni è dovuto ad attacchi '''XSS'''<ref>{{en}} [http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_exec_summary_internet_security_threat_report_xiii_04-2008.en-us.pdf Symantec Internet Security Threat Report: Trends for July-December 2007]</ref>.
Riga 7:
==Origine e trasformazione del concetto==
 
L'espressione "cross-site scripting" originariamente si riferiva unicamente ad attacchi basati sull'utilizzo di frammenti di codice [[JavaScript]] inseriti all'interno di chiamate a pagine web dinamiche poste su un web-server (tecnica facente parte dei metodi di [[code injection]]) in modo che il server remoto eseguisse operazioni diverse da quelle previste originariamente dall'applicativo web. Tale definizione, gradualmente, si è estesa comprendendo anche altre modalità di "iniezione di codice" basate non solo su [[Java (programming language)|Java]] ma anche su [[ActiveX]], [[VBScript]], [[Adobe Flash|Flash]], o anche puro [[HTML]] e query [[SQL]] (quest'ultima tecnica chiamata più diffusamente [[SQL injection]]). Ciò ha generato una certa confusione nella terminologia riferita alla [[sicurezza informatica]]: il termine, infatti, ricomprende oggi tutto un insieme di tecniche di attacco e non esclusivamente quella basata su manipolazione di codice JavaScript.<ref name=Grossman>{{Cita web|autore=Grossman, Jeremiah|titolo= The origins of Cross-Site Scripting (XSS)|url= http://jeremiahgrossman.blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html |data=30 luglio 2006|accesso=15 settembre 2008}}</ref><ref name=Wikipedia>{{Cita web|autore=Wikipedia|titolo=Cross-site scripting |url=http://en.wikipedia.org/wiki/Cross-site_scripting}}</ref>
 
== Tipologie ==
Esistono due tipi di vulnerabilità XSS:
* '''stored''', quando il codice di scripting viene inserito in maniera permanente sul server (es. modificandoquando unaviene paginasfruttata webin dinamicaun JSP o PHPforum);
* '''reflected''', quando il payload viene iniettato tramite richieste GET o POST del protocollo [[Hyper Text Transfer Protocol|HTTP]]) effettuate dallo stesso client che subisce l'attacco (es. si induce l'utente ad aprire un URL forgiato appositamente, contenente codice scripting che verra` iniettato nella pagina ed eseguito client side.).
* '''reflected''', quando il codice di scripting viene eseguito sfruttando alcune conosciute vulnerabilità dell'applicativo web, inserendosi di fatto all'interno del normale flusso di esecuzione del codice applicativo (es. inserendo opportuni script all'interno delle richieste GET o POST del protocollo [[Hyper Text Transfer Protocol|HTTP]]).
 
== Un esempio di attacco ==
Riga 66:
 
=== Aggiornare il browser ===
Per gli utenti, una possibile difesa contro la tipologia "reflected" è mantenere aggiornati i browser, le ultime versioni includono un filtro per questo tipo di attacchi, come [[Internet Explorer]]<ref>[http://windows.microsoft.com/it-IT/internet-explorer/products/ie-9/features/cross-site-scripting-filter Filtro Internet explorer 9]</ref> e [[Mozilla Firefox]]<ref>[http://www.ilsoftware.it/articoli.asp?id=5566 Mozilla contro gli attacchi XSS: novità per Firefox]</ref>.
 
== Note ==
Estratto da "https://it.wikipedia.org/wiki/Cross-site_scripting"