Wikipedia

Cross-site scripting

vulnerabilità informatica
Versione del 7 gen 2011 alle 13:23 di RicoRico (discussione | contributi) (fix ref)
Questa voce sugli argomenti sicurezza informatica e Internet è solo un abbozzo.
Contribuisci a migliorarla secondo le convenzioni di Wikipedia. Segui i suggerimenti del progetto di riferimento.

Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input nei form. Un XSS permette ad un hacker di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo è possibile sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina.

Secondo symantec nel 2007 l'80% di tutte le violazioni sono dovute ad attacchi XSS[1].

Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.

Tipologie

Esistono due tipi di vulnerabilità XSS:

  • stored, nelle quali un attaccante è in grado di modificare permanentemente il contenuto di una pagina web, ad esempio inserendo un commento opportunamente preparato ad un post in un blog.
  • reflected, grazie alle quali è possibile produrre un URL che, utilizzato sul sito vulnerabile, ne altererà il contenuto delle pagine in modo non permanente ed esclusivamente per le richieste HTTP che utilizzano tali URL appositamente forgiati.

L'attacco

Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste HTTP, sia GET che POST.

Per verificare la vulnerabilità di un sito è sufficiente (ad esempio) provare ad inserire del codice javascript nel suo campo di ricerca allo scopo di produrre effetti sulla pagina risultante, causando l'esecuzione del codice inserito. Il seguente è un semplice frammento di codice adatto al test:

<script type="text/javascript">alert('XSS')</script>


Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di cookie a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.

Come difendersi

Escape degli input

Il metodo più sicuro è adottare, da parte del programmatore, un'adeguata politica di escape degli input, allo stesso modo con cui si procede per evitare le SQL injection, eliminando però i tag html "pericolosi" o non graditi, primi tra tutti quelli di scripting. Più precisamente la tecnica più diffusa e più semplice è trasformare < e > rispettivamente in & lt; e & gt;, anche se ciò non è sufficiente in applicazioni che fanno largo uso di javascript[2].

Aggiornare il browser

Per gli utenti, una possibile difesa è mantenere aggiornati i browser, le ultime versioni includono un filtro per questo tipo di attacchi, come Internet Explorer[3] e Mozilla Firefox[4].

Note

  1. ^ (EN) Symantec Internet Security Threat Report: Trends for July-December 2007
  2. ^ [1]
  3. ^ Filtro Internet explorer 9
  4. ^ Mozilla contro gli attacchi XSS: novità per Firefox

Voci correlate

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica
Estratto da "https://it.wikipedia.org/w/index.php?title=Cross-site_scripting&oldid=37528675"