Cross-site scripting

L'espressione "cross-site scripting" originariamente si riferiva unicamente ad attacchi basati sull'utilizzo di frammenti di codice JavaScript inseriti all'interno di chiamate a pagine web dinamiche poste su un web-server (tecnica facente parte dei metodi di code injection) in modo che il server remoto eseguisse operazioni diverse da quelle previste originariamente dall'applicativo web. Tale definizione gradualmente si è estesa ricoprendendo anche altre modalità di "iniezione di codice" basate non solo su Java ma anche su ActiveX, VBScript, Flash, o anche puro HTML e query SQL (quest'ultima tecnica chiamata più diffusamente SQL injection). Ciò ha generato una certa confusione nella terminologia riferita alla Sicurezza Informatica: il termine, infatti, ricomprende oggi tutto un insieme di tecniche di attacco e non esclusivamente quella basata su manipolazione di codice JavaScript.^[2][3]

Esistono due tipi di vulnerabilità XSS:

• stored, quando il codice di scripting viene inserito in maniera permanente sul server (es. modificando una pagina web dinamica JSP o PHP);
• reflected, quando il codice di scripting viene eseguito sfruttando alcune conosciute vulnerabilità dell'applicativo web, inserendosi di fatto all'interno del normale flusso di esecuzione del codice applicativo (es. inserendo opportuni script all'interno delle richieste GET o POST del protocollo HTTP).

Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste HTTP, sia GET che POST (ad esempio, l'input di una stringa in un form di ricerca).

Per verificare la vulnerabilità di un sito è sufficiente (ad esempio) provare ad inserire del codice JavaScript o SQL nel suo campo di ricerca allo scopo di produrre effetti sulla pagina risultante, causando l'esecuzione del codice inserito.

Il seguente è un semplice frammento di codice JavaScript adatto al test:

<script type="text/javascript">alert('XSS')</script>

Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di cookie a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.

Il metodo più sicuro per un programmatore PHP, è quello di usare una delle tre funzioni che permettono l'escape dei caratteri html inserite in una stringa. Dette funzioni sono: htmlspecialchars(), htmlspecialentities(), strip_tags: tutte sicure, si differenziano soltanto per l'output:

htmlspecialchars()

echo htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
# L'output sarà: 
&lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt; dato che converte i caratteri "particolari", in codice html.

htmlentities

echo htmlentities("I'm <b>bold</b>");
# L'Output sarà di conseguenza: 
I'm &lt;b&gt;bold&lt;/b&gt;

strip_tags

$text='<p>Testo interno al paragrafo.</p><!-- commento --> <a href="#ancora">Altro testo</a>';

echo strip_tags($text);

# Il particolare output di questa funzione, sarà: 
Testo interno al paragrafo. Altro testo

# E' possibile non rimuovere alcuni tag utilizzando il secondo parametro opzionale:

echo strip_tags($text,'<p>');

# Il particolare output di questa funzione, sarà: 
<p>Testo interno al paragrafo.</p> Altro testo

Per gli utenti, una possibile difesa è mantenere aggiornati i browser, le ultime versioni includono un filtro per questo tipo di attacchi, come Internet Explorer^[4] e Mozilla Firefox^[5].

1. Dominator and Dominator Pro tool Opensource per identificare domXSS http://dominator.mindedsecurity.com

• HTML Tidy