Cross-site scripting

L'espressione "cross-site scripting" originariamente si riferiva unicamente ad attacchi basati sull'utilizzo di frammenti di codice JavaScript inseriti all'interno di una pagina web client-side (tecnica chiamata code injection) in modo che il server remoto eseguisse, operazioni diverse da quelle previste originariamente dall'applicativo web. Tale definizione gradualmente si è estesa ricomprendendo altre modalità di "iniezione di codice" basate non solo su Java ma anche su ActiveX, VBScript, Flash, o anche puro HTML e query SQL (quest'ultima tecnica chiamata più diffusamente SQL Injection). Ciò ha generato una diffusa confusione nella terminologia riferita alla Sicurezza Informatica: il termine, infatti, ricomprende oggi tutto un insieme di tecniche di attacco e non esclusivamente quella basata su manipolazione di codice JavaScript.^[2][3]

Esistono due tipi di vulnerabilità XSS:

• stored, nelle quali un attaccante è in grado di modificare permanentemente il contenuto di una pagina web, ad esempio inserendo un commento opportunamente preparato ad un post in un blog.
• reflected, grazie alle quali è possibile produrre un URL che, utilizzato sul sito vulnerabile, ne altererà il contenuto delle pagine in modo non permanente ed esclusivamente per le richieste HTTP che utilizzano tali URL appositamente forgiati.

Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste HTTP, sia GET che POST.

Per verificare la vulnerabilità di un sito è sufficiente (ad esempio) provare ad inserire del codice javascript nel suo campo di ricerca allo scopo di produrre effetti sulla pagina risultante, causando l'esecuzione del codice inserito. Il seguente è un semplice frammento di codice adatto al test:

<script type="text/javascript">alert('XSS')</script>

Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di cookie a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.

Il Metodo più sicuro per un programmatore PHP, è quello di usare una delle tre funzioni che permettono l'escape dei caratteri html inserite in una stringa. Dette funzioni sono: htmlspecialchars(), htmlspecialentities(), strip_tags: tutte sicure, si differenziano soltanto per l'output:

htmlspecialchars()

echo htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
# L'output sarà: 
&lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt; dato che converte i caratteri "particolari", in codice html.

htmlentities

echo htmlentities("I'm <b>bold</b>");
# L'Output sarà di conseguenza: 
I'm &lt;b&gt;bold&lt;/b&gt;

strip_tags

$text='<p>Testo interno al paragrafo.</p><!-- commento --> <a href="#ancora">Altro testo</a>';

echo strip_tags($text);

# Il particolare output di questa funzione, sarà: 
Testo interno al paragrafo. Altro testo

# E' possibile non rimuovere alcuni tag utilizzando il secondo parametro opzionale:

echo strip_tags($text,'<p>');

# Il particolare output di questa funzione, sarà: 
<p>Testo interno al paragrafo.</p> Altro testo

Per gli utenti, una possibile difesa è mantenere aggiornati i browser, le ultime versioni includono un filtro per questo tipo di attacchi, come Internet Explorer^[4] e Mozilla Firefox^[5].

• HTML Tidy