Cos'è lo scripting tra siti

By Cristina Margherita Non ci sono commenti 5 minuti

Cross-Site Scripting, chiamato anche XXS, è un attacco dannoso che inietta deliberatamente script dannosi nel browser Web di un utente. L'attaccante esegue codice dannoso in un'applicazione Web o in una pagina Web e non appena l'utente visita l'applicazione Web o la pagina Web; lo script dannoso viene trasmesso automaticamente al browser degli utenti.

Cross Site Scripting

In questo modo, l'attaccante prende il controllo del browser dell'utente o del suo account su un determinato sito web. Significa che questo attacco non danneggia l'applicazione web stessa, ma colpisce gli utenti di tale applicazione.

Inoltre, gli script dannosi di solito trasmettono come codice JavaScript. Tuttavia, i codici dannosi possono anche sfruttare i browser degli utenti in altre lingue, tra cui HTML, Ajax, Flash e Java.

Ottieni FastestVPN

Sintesi della spiegazione

Ecco il breve riepilogo della spiegazione del Cross-Site Scripting:

  • XXS è un attacco basato sul Web a pagine Web o applicazioni Web vulnerabili
  • Danneggia gli utenti dell'applicazione Web, non l'applicazione stessa
  • XXS trasmette programmi dannosi agli utenti tramite JavaScript.

Come funziona l'attacco Cross-Site Scripting (XXS)?

Gli attacchi di cross-site scripting hanno luogo in modo tale da manipolare prima un'applicazione Web vulnerabile con script dannosi, quindi l'applicazione Web invia quel codice JavaScript dannoso al browser dell'utente.

Non appena lo script dannoso entra nel browser dell'utente, l'aggressore può facilmente assumere il controllo del browser dell'utente.

Scopo del Cross-Site Scripting

Un utente malintenzionato esegue attacchi XXS per i seguenti motivi:

  • Per hackerare un account
  • Per trasmettere software dannosi e virus sui sistemi che utilizzano Internet
  • Per accedere al contenuto degli appunti e alla cronologia del browser di un utente
  • Per eseguire in remoto il browser dell'utente
  • Per sfruttare e accedere alle applicazioni intranet

Esempi di scripting tra siti

Alcune delle fonti più vulnerabili per l'iniezione di XXS sono forum e siti Web di bacheche self-hosted che consentono la pubblicazione da parte degli utenti.

Ora, condividiamo un semplice esempio di Cross-Site Script qui sotto:

È un codice JSP, in cui puoi vedere che viene effettuata una richiesta HTTP e il codice legge un ID dipendente, eid, mostrandolo all'utente.

Il codice in questo esempio funzionerà correttamente solo se il codice (eid) include testo alfanumerico standard.

Tuttavia, se lo stesso codice (eid) utilizza qualsiasi metacarattere o valore del codice sorgente, significa che il codice verrà forzato dal browser Web per essere visualizzato all'utente come risposta HTTP.

Inizialmente, non sembra essere una vulnerabilità importante perché nessuno inserirebbe mai un URL dannoso. Tuttavia, l'interruzione inizia quando un utente malintenzionato crea un collegamento dannoso e induce gli utenti a visitare il collegamento nascosto nell'URL.

Di solito, l'attaccante inganna gli utenti attraverso l'ingegneria sociale e le e-mail e attira gli utenti a visitare un collegamento dannoso.

Non appena l'utente fa clic sul collegamento dannoso, invia involontariamente il contenuto dannoso dell'applicazione Web al proprio sistema.

Il processo di riflesso del contenuto dannoso è chiamato XXS riflesso. Gli attacchi XXS causano gravi interruzioni che spesso portano a manomissioni e gravi furti di dati.

Tipi di scripting tra siti

  1. XSS memorizzato/persistente

L'attacco XSS memorizzato/persistente è la forma più distruttiva di un attacco XSS in cui un utente malintenzionato trasmette uno script permanente sull'applicazione web. Gli utenti cadono vittime di script dannosi quando viene effettuata una richiesta sul server.

  1. XXS riflesso

Questo tipo di Cross-Site Scripting non comporta l'attacco diretto al server. Utilizza le e-mail per indurre gli utenti a eseguire script dannosi nel browser. Il browser ritiene che si tratti di uno script attendibile e quindi tutto il contenuto dannoso si riflette nel browser dell'utente.

  1. Attacchi basati su DOM

Gli attacchi basati su DOM sono meno comuni e si differenziano in modo tale da non interrompere mai il codice lato server, ma si basano solo sugli script lato client.

DOM si riferisce al modello a oggetti del documento che è un'interfaccia di programmazione dell'applicazione (API) per i documenti HTML e XML. Gli attacchi basati su DOM hanno luogo solo quando un'applicazione Web visualizza i dati dell'utente in un modello a oggetti documento.

L'applicazione web legge i dati dell'utente e li trasmette al browser. Se i dati dell'utente non sono protetti, un utente malintenzionato può facilmente archiviare script dannosi nel DOM.

Come determinare la vulnerabilità del tuo sito web

Puoi facilmente tenere sotto controllo la vulnerabilità del tuo sito Web tramite scanner di vulnerabilità Web come Nessus, Nikto, Vega, Grab, WebScarab e molti altri disponibili.

È importante condurre attentamente una revisione della sicurezza del codice e scoprire tutte le possibili falle di sicurezza che potrebbero consentire all'input da una richiesta HTTP di accedere all'output HTML.

Tieni presente che una varietà di tag HTML può essere utilizzata per eseguire un JavaScript dannoso. Pertanto, è importante eseguire la scansione di un sito Web tramite scanner di sicurezza Web.

Nel caso in cui una qualsiasi parte del sito Web sia vulnerabile, è possibile che l'intero sito Web possa essere danneggiato.

Come prevenire gli attacchi di scripting tra siti

  1. Escaping input utente

L'escape dell'input dell'utente è un metodo per prevenire gli attacchi XXS. In questo metodo, devi assicurarti che i dati che la tua applicazione web sta per inviare al browser web degli utenti siano sicuri.

WordPress e PHP comprendono funzioni che disinfettano automaticamente i dati che stai emettendo.

  1. Convalida dell'input

La convalida dell'input è il processo in cui tutti i dati forniti da un'applicazione Web vengono accuratamente controllati e verificati prima di essere inviati al browser degli utenti.

Le applicazioni web devono controllare e convalidare i dati prima di entrare in altri sistemi. Aiuta a rilevare qualsiasi collegamento o programma dannoso destinato ad attaccare i sistemi degli utenti.

Conclusione

Gli attacchi XXS sono comuni e possono violare la privacy degli utenti, tuttavia è facile testare e impedire che le tue applicazioni Web vengano attivate da script dannosi.

Le applicazioni Web devono disinfettare costantemente il loro input prima di inviarlo direttamente al browser degli utenti. Inoltre, scansioni web regolari aiuteranno le applicazioni web a scoprire se esistono vulnerabilità.

Prendi il controllo della tua privacy oggi! Sblocca i siti Web, accedi alle piattaforme di streaming e ignora il monitoraggio dell'ISP.

Ottieni FastestVPN
Iscriviti alla Newsletter
Ricevi i post di tendenza della settimana e gli ultimi annunci di FastestVPN tramite la nostra newsletter via e-mail.
icona
0 0 voti
Articolo di valutazione

Potresti Piace anche

Come richiedere i tuoi dati da Facebook e Google Come richiedere i tuoi dati da Facebook e Google
Suggerimenti per rimanere protetti mentre si lavora da casa Suggerimenti per rimanere protetti mentre si lavora da casa
Come bloccare le e-mail di spam Come bloccare le e-mail di spam
Sottoscrivi
Notifica
ospite
0 Commenti
Feedback in linea
Visualizza tutti i commenti