Wikipedia

Cross-site scripting: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Recupero di 1 fonte/i e segnalazione di 1 link interrotto/i. #IABot (v1.6.1)
Origine e trasformazione del concetto: corretto errore ortografico e altre piccole modifiche al wikicodice
Riga 3:
Secondo un rapporto di [[Symantec]] nel [[2007]] l'80% di tutte le violazioni è dovuto ad attacchi '''XSS'''<ref>{{en}} [http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_exec_summary_internet_security_threat_report_xiii_04-2008.en-us.pdf Symantec Internet Security Threat Report: Trends for July-December 2007]</ref>.
 
== Origine e trasformazione del concetto ==
 
La sicurezza nel web dipende da una varietà di meccanismi incluso il concetto di fiducia noto come [[Same origin policy]]. Questo afferma in sostanza che se al contenuto del primo sito viene concessa l'autorizzazione di accedere alle risorse di un sistema, allora qualsiasi contenuto da quel sito condividerà queste autorizzazioni, mentre il contenuto di un altro sito deve avere delle autorizzazioni a parte.
Riga 9:
Gli attacchi Cross-site scripting usano vulnerabilità note delle applicazioni web, nei loro server o dei plugin su cui si basano. Sfruttando una di queste vulnerabilità, gli aggressori iniettano contenuto malevolo nel contenuto che fornisce il sito compromesso. Quando il contenuto arriva nel [[Browser|web browser]] lato client risulta inviato dalla fonte attendibile, perciò opera sotto le autorizzazioni concesse a quel sistema. Trovando il modo di iniettare script malevoli, l'utente malintenzionato può ottenere privilegi di accesso al contenuto di pagine sensibili, ai cookie di sessione e a una varietà da altre informazioni gestite dal browser per conto dell'utente.
 
Gli ingegneri della sicurezza di Microsoft hanno introdotto il termine "cross-site scripting" nel gennaio del 2000. L'espressione "cross-site scripting" originariamente si riferiva unicamente ad attacchi basati sull'utilizzo di frammenti di codice [[JavaScript]] inseriti all'interno di chiamate a pagine web dinamiche poste su un web-server (tecnica facente parte dei metodi di [[code injection]]) in modo che il server remoto eseguisse operazioni diverse da quelle previste originariamente dall'applicativo web. Tale definizione, gradualmente, si è estesa comprendendo anche altre modalità di "iniezione di codice" basate non solo su [[JavaScript]] ma anche su [[ActiveX]], [[VBScript]], [[Adobe Flash|Flash]], o anche puro [[HTML]]. Ciò ha generato una certa confusione nella terminologia riferita alla [[sicurezza informatica]]: il termine, infatti, ricomprende oggi tutto un insieme di tecniche di attacco e non esclusivamente quella basata su manipolazione di codice JavaScript.<ref name="Grossman">{{Cita web|autore = Grossman, Jeremiah|titolo = The origins of Cross-Site Scripting (XSS)|url = http://jeremiahgrossman.blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html |data = 30 luglio 2006|accesso = 15 settembre 2008}}</ref>
 
Vulnerabilità XSS sono state segnalate e sfruttate dal 1990. Siti noti sono stati compromessi nel passato, inclusi siti di social-network come [[Twitter]]<ref>{{Cita web |url = http://www.theguardian.com/technology/blog/2010/sep/21/twitter-bug-malicious-exploit-xss |titolo = Twitter users including Sarah Brown hit by malicious hacker attack |cognome = Arthur |nome = Charles |sito = the Guardian |data = 21 settembre 2010 |accesso = 21 maggio 2016}}</ref>, [[Facebook]]<ref>{{Cita web |url = http://www.theregister.co.uk/2008/05/23/facebook_xss_flaw/ |titolo = Facebook poked by XSS flaw |cognome = Hacking |accesso = 21 maggio 2016}}</ref>, [[Myspace|MySpace]], [[YouTube]] e [[Orkut]]<ref>{{Cita web |url = http://www.zdnet.com/blog/security/obama-site-hacked-redirected-to-hillary-clinton/1042 |titolo = Obama site hacked; Redirected to Hillary Clinton {{!}} ZDNet |cognome = Dignan |nome = Larry |sito = ZDNet |accesso = 21 maggio 2016}}</ref>. Negli anni successivi, i problemi di cross-site scripting hanno superato quelli di buffer overflows diventando la vulnerabilità di sicurezza più comunemente segnalata<ref>{{Cita web |url = https://cwe.mitre.org/documents/vuln-trends/index.html|titolo=CWE -
Vulnerability Type Distributions in CVE |sito = cwe.mitre.org |accesso = 21 maggio 2016}}</ref>, tant'è che alcuni ricercatori nel 2007 hanno supposto che il 68% dei siti probabilmente sarebbero esposti ad attacchi XSS<ref>{{Cita web |url = http://www.csoonline.com/article/221113 |titolo = Software Vulnerability Disclosure: The Chilling Effect - CSO Online - Security and Risk |data = 18 aprile 2008 |accesso =21 maggio 2016 |urlmorto = |urlarchivio = https://web.archive.org/web/20080418072230/http://www.csoonline.com/article/221113 |dataarchivio = 18 aprile 2008}}</ref>.
 
== Tipologie ==
Estratto da "https://it.wikipedia.org/wiki/Cross-site_scripting"