Cross-site scripting

Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input nei form. Un XSS permette ad un hacker di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo è possibile sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina.

Secondo symantec nel 2007 l'80% di tutte le violazioni sono dovute ad attacchi XSS^[1].

Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.

Tipologie

Esistono due tipi di vulnerabilità XSS:

stored, nelle quali un attaccante è in grado di modificare permanentemente il contenuto di una pagina web, ad esempio inserendo un commento opportunamente preparato ad un post in un blog.
reflected, grazie alle quali è possibile produrre un URL che, utilizzato sul sito vulnerabile, ne altererà il contenuto delle pagine in modo non permanente ed esclusivamente per le richieste HTTP che utilizzano tali URL appositamente forgiati.

L'attacco

Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste HTTP, sia GET che POST.

Per verificare la vulnerabilità di un sito è sufficiente (ad esempio) provare ad inserire del codice javascript nel suo campo di ricerca allo scopo di produrre effetti sulla pagina risultante, causando l'esecuzione del codice inserito. Il seguente è un semplice frammento di codice adatto al test:

<script type="text/javascript">alert('XSS')</script>

Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di cookie a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web.

Come difendersi

Escape degli input

Il Metodo più sicuro per un programmatore PHP, è quello di usare una delle tre funzioni che permettono l'escape dei caratteri html inserite in una stringa. Dette funzioni sono: htmlspecialchars(), htmlspecialentities(), strip_tags: tutte sicure, si differenziano soltanto per l'output:

htmlspecialchars()

echo htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
# L'output sarà: 
&lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt; dato che converte i caratteri "particolari", in codice html.

htmlentities

echo htmlentities("I'm <b>bold</b>");
# L'Output sarà di conseguenza: 
I'm &lt;b&gt;bold&lt;/b&gt;

strip_tags

$text='<p>Testo interno al paragrafo.</p><!-- commento --> <a href="#ancora">Altro testo</a>';

echo strip_tags($text);

# Il particolare output di questa funzione, sarà: 
Testo interno al paragrafo. Altro testo

# E' possibile non rimuovere alcuni tag utilizzando il secondo parametro opzionale:

echo strip_tags($text,'<p>');

# Il particolare output di questa funzione, sarà: 
<p>Testo interno al paragrafo.</p> Altro testo

Aggiornare il browser

Per gli utenti, una possibile difesa è mantenere aggiornati i browser, le ultime versioni includono un filtro per questo tipo di attacchi, come Internet Explorer^[2] e Mozilla Firefox^[3].

Note

Voci correlate

HTML Tidy

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica

[1] (EN) Symantec Internet Security Threat Report: Trends for July-December 2007

[2] Filtro Internet explorer 9

[3] Mozilla contro gli attacchi XSS: novità per Firefox

[1]

[2]

[3]