Cross-site scripting: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m r2.5.2) (Bot: Aggiungo: el:Cross-site scripting |
format -w |
||
Riga 1:
{{S|sicurezza informatica|Internet}}
Il '''Cross-site scripting''' ('''XSS''') è una [[vulnerabilità]] che affligge [[Web dinamico
Secondo [[symantec]] nel [[2007]] l'80% di tutte le violazioni sono dovute ad attacchi '''XSS'''<ref>{{en}} [http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_exec_summary_internet_security_threat_report_xiii_04-2008.en-us.pdf Symantec Internet Security Threat Report: Trends for July-December 2007]</ref>.
Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.
== Tipologie ==
Esistono due tipi di vulnerabilità XSS:
* '''stored''', nelle quali un attaccante è in grado di modificare permanentemente il contenuto di una pagina web, ad esempio inserendo un commento opportunamente preparato ad un post in un blog.
* '''reflected''', grazie alle quali è possibile produrre un URL che, utilizzato sul sito vulnerabile, ne altererà il contenuto delle pagine in modo non permanente ed esclusivamente per le richieste [[Hyper Text Transfer Protocol|HTTP]] che utilizzano tali [[URL]] appositamente forgiati.
== L'attacco ==
Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste [[Hyper Text Transfer Protocol|HTTP]].
Line 17 ⟶ 22:
Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di [[cookie]] a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.
== Note ==
<references />
==Voci correlate==
| |||