Il Cross-Site Scripting (XSS) è un attacco di iniezione in cui script dannosi vengono iniettati in siti web altrimenti affidabili e innocui. Quando un aggressore invia codice dannoso, solitamente sotto forma di script lato browser, a un altro utente finale tramite un'applicazione web, si verifica un attacco XSS. Le applicazioni web che non convalidano o crittografano l'input dell'utente sono vulnerabili a questi attacchi a causa della diffusione di diverse falle.
Uno script dannoso può essere inviato a un utente ignaro tramite XSS per accedere ai suoi dati. Tuttavia, nel caso di una mano di cui non ci si può fidare, il browser dell'utente finale non può riconoscerlo ed eseguirà comunque lo script. In sostanza, lo script dannoso è in grado di accedere a cookie, token di sessione o altre informazioni sensibili che il browser può ottenere perché ritiene che la mano provenga da una fonte attendibile.
Gli utenti non devono forse occuparsi di cross-site scripting?
Le vulnerabilità XSS su siti web o applicazioni possono consentire agli aggressori di iniettare codice JavaScript nei browser degli utenti, compromettendo la sicurezza dei siti web, delle applicazioni web vulnerabili e dei loro utenti. Allo stesso modo, qualsiasi altra vulnerabilità di sicurezza, come XSS, non è un problema dell'utente. In altre parole, se colpisce i tuoi utenti, colpisce anche te.
Occasionalmente, il cross-site scripting viene utilizzato per deturpare un sito web anziché colpire direttamente un utente, nei casi in cui l'aggressore intenda compromettere un sito web dall'interno. Iniettando script in un sito web, un aggressore può modificarne il contenuto o persino reindirizzare il browser a un'altra pagina web, ad esempio infetta da codice dannoso, per modificarne il contenuto.
Come funziona lo scripting tra siti?
Innanzitutto, un aggressore deve trovare un modo per iniettare codice dannoso (payload) nell'URL di una pagina web visitata dalla vittima per eseguire codice JavaScript dannoso nel suo browser. Successivamente, la vittima deve visitare il sito web contenente il codice dannoso per eseguirlo. Un aggressore può utilizzare un attacco di ingegneria sociale o di phishing per inviare un URL dannoso a una vittima specifica, se l'aggressore ha come obiettivo un obiettivo specifico.
Affinché il primo passaggio sia possibile, il sito web vulnerabile deve essere in grado di incorporare direttamente l'input dell'utente nelle sue pagine. In questo modo, un aggressore potrebbe inserire una stringa dannosa in una pagina web, che verrebbe interpretata come codice sorgente dal browser della vittima quando visualizza la pagina.
Quali sono i tipi di attacchi XSS?
Gli attacchi XSS possono essere classificati in 3 tipologie principali. Eccone alcune:
- XSS riflesso : si riflette in XSS nella misura in cui lo script dannoso proviene dalla richiesta HTTP corrente.
- XSS memorizzato : un XSS memorizzato in cui lo script dannoso si trova nel database di un sito web.
- XSS basato su DOM : un XSS basato su dati DOM, in cui la vulnerabilità è presente sul lato client anziché su quello server, è noto come XSS basato su DOM.
Come prevenire l'XSS?
È necessario assicurarsi che l'input sia sanificato per evitare attacchi XSS. Ad esempio, assicurarsi di non passare i dati ricevuti dal browser direttamente al codice dell'applicazione senza prima verificare la presenza di errori. Sul sito web di Seahawk Media sono disponibili altri argomenti simili che potrebbero essere di interesse.
