Cross-site scripting: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Portale Sicurezza informatica |
|||
Riga 1:
{{S|informatica}}
Il '''Cross-site scripting (XSS)''' è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input (parametri di richieste [[Hyper Text Transfer Protocol|HTTP]] GET o contenuto di richieste [[Hyper Text Transfer Protocol|HTTP]] POST). Un XSS permette ad un attaccante di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo sì potranno sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina.
Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti in siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.
Esistono due tipi di vulnerabilità XSS:
* '''stored''', nelle quali un attaccante è in grado di modificare permanentemente il contenuto di una pagina web, ad esempio inserendo un commento opportunamente preparato ad un post in un blog.
* '''reflected''', grazie alle quali è possibile produrre un URL che utilizzato sul sito vulnerabile altererà il contenuto delle pagine in modo non permanente ed esclusivamente per le richieste [[Hyper Text Transfer Protocol|HTTP]] che utilizzano tali [[URL]] appositamente forgiati.
Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste [[Hyper Text Transfer Protocol|HTTP]].
Per verificare la vulnerabilità di un sito è sufficiente (ad esempio) provare ad inserire del codice [[javascript]] nel suo campo di ricerca allo scopo di produrre effetti sulla pagina risultante, causando l'esecuzione del codice inserito.
| |||