Tecniche: Cross Site Scripting

20 marzo 2006

La grande diffusione dei siti a contenuto dinamico che utilizzano linguaggi lato server (come ASP e PHP) ha favorito lo sviluppo di particolari tecniche di hacking ideate per colpire gli utilizzatori delle applicazioni web. Una delle tecniche più conosciute prende il nome di Cross Site Scripting, spesso abbreviata con CSS (oppure XSS, per non confondere la sigla con quella dei fogli di stile nelle pagine web).

Il CSS permette ad un aggressore di inserire codice arbitrario come input di una web application, così da modificarne il comportamento per perseguire i propri fini illeciti. Se uno script consente questo tipo di attacco, è facile confezionare un URL ad hoc e inviarlo all’utente che sarà vittima del sotterfugio. All’utente, ignaro di questa modifica, sembrerà di utilizzare il normale servizio offerto dal sito web vulnerabile. Pagine web o e-mail sono i mezzi ideali per portare a termine l’attacco.

I pericoli del Cross Site Scripting

Quando utilizziamo un servizio che richiede l’inserimento di username e password, spesso questi dati vengono registrati sul nostro computer sotto forma di Cookie (un file di testo) per non doverli digitare ogni volta. Per ovvi motivi di sicurezza, i dati contenuti nel cookie sono accessibili solo dal sito web che li ha creati. Ma supponiamo che il sito in questione utilizzi una applicazione vulnerabile al CSS: l’aggressore potrà iniettare un semplice JavaScript che legge il cookie dell’utente e lo riferisce. Il browser dell’utente permetterà la lettura, perchè in effetti il JavaScript viene eseguito da un sito autorizzato a leggere il cookie!

Il risultato immediato è evidente: l’aggressore avrà accesso al cookie e, a seconda delle informazioni contenute, sarà in grado di leggere la nostra posta, oppure di utilizzare il nostro nickname nel forum che frequentiamo (e i nostri privilegi, se ad esempio siamo amministratori), e così via.

Oltre al danno, la beffa: il Cross Site Scripting solitamente richiede un intervento attivo da parte della vittima per poter funzionare: anche il click su un link in una pagina web o in un messaggio di posta elettronica può nascondere insidie di questo tipo. Facciamo dunque attenzione ai link sospetti: se contengono i tag <script> all’interno, o se troviamo codice esadecimale (utilizzato perchè viene interpretato normalmente dal server ma nasconde agli occhi dell’utente gli indizi che potrebbero allarmarlo), pensiamoci due volte prima di aprirli!

Se vuoi aggiornamenti su Tecniche: Cross Site Scripting inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su Tecniche: Cross Site Scripting

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy