Cross-site scripting: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m WPCleaner v1.37 - Disambigua corretti 2 collegamenti - GET, POST / Fixed using Wikipedia:Check Wikipedia (Interlink scritto come un link esterno - Errori comuni) |
m fix |
||
Riga 1:
Il '''Cross-site scripting''' ('''XSS''') è una [[vulnerabilità]] che affligge [[Web dinamico|siti web dinamici]] che impiegano un insufficiente controllo dell'input nei [[form]]. Un XSS permette ad un [[Cracker (informatica)|Cracker]] di inserire o eseguire codice lato client al fine di attuare un insieme variegato di attacchi quali ad esempio: raccolta, manipolazione e reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server, alterazione del comportamento dinamico delle pagine web ecc. Nell'accezione odierna, la tecnica ricomprende l'utilizzo di qualsiasi linguaggio di scripting lato client tra i quali JavaScript, VBScript, Flash, HTML.
Secondo un rapporto di [[Symantec]] nel [[2007]] l'80% di tutte le violazioni è dovuto ad attacchi '''XSS'''<ref>{{en}} [http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_exec_summary_internet_security_threat_report_xiii_04-2008.en-us.pdf Symantec Internet Security Threat Report: Trends for July-December 2007]</ref>.
Riga 24:
=== Escape degli input in PHP ===
Il metodo più sicuro per un programmatore PHP, è quello di usare una delle tre funzioni che permettono l'escape dei caratteri html inserite in una stringa. Dette funzioni sono: htmlspecialchars(), htmlentities(), strip_tags: tutte sicure, si differenziano soltanto per l'output:
htmlspecialchars()
Line 34 ⟶ 32:
<a href='test'>Test</a> dato che converte i caratteri "particolari", in codice html.
</source>
htmlentities
Line 43 ⟶ 40:
I'm <b>bold</b>
</source>
strip_tags
Line 61 ⟶ 57:
# Il particolare output di questa funzione, sarà:
<p>Testo interno al paragrafo.</p> Altro testo
</source
=== Aggiornare il browser ===
| |||