Torniamo nella nostra rubrica dedicata alla "sicurezza", quest'oggi vogliamo parlarvi di un argomento che negli ultimi 10 anni è stato scarsamente trattato dalle varie testate di news specializzate ovvero i Cross-site scripting (XSS). Si tratta di una vulnerabilità che affligge i siti web dinamici che impiegano un insufficiente controllo dell'input nei form.
Un XSS Attack permette ad un utente malintenzionato di inserire ed eseguire codice lato client cosi da ottenere dati, manipolarli, reindirizzare i link, alterare i comportamenti di un sito Web. Secondo varie compagnie che si occupano di Web security questo tipo di attacchi, che comprendono l'utilizzo di qualsiasi linguaggio di scripting lato client (JavaScript, VBScript..), sono in costante aumento e durante, i primi 5 mesi del 2017 il trend degli XSS Attack è salito del 40% rispetto al 2015.
Le vulnerabilità XSS sono quindi in costante incremento, secondo alcuni analisti siamo nel mezzo di una nuova grande ondata di attacchi destinati a crescere sempre di più nell'arco del 2017. Questa minaccia si accompagna ad una strategia ben precisa, ovvero non si punta ad un unico "assalto" ma a migliaia di attacchi "mordi e fuggi" capaci di compromettere i dati nel tempo.
Questo trend è dovuto alla quantità dei dati sensibili che viene veicolata Rete quotidianamente. Parliamo di dati bancari, prenotazioni, visite mediche, tutto ormai passa per Internet e, spesso, in un formato facilmente tracciabile da un possibile malintenzionato. Inoltre, le App Single Page sono ormai di uso comune e rappresentano non di rado l'ambiente ideale per questo genere di attacchi, sopratutto se le API e le librerie utilizzate sono obsolete.
Inoltre l'uso estensivo di Javascript nelle moderne Web application, che spesso sono pensate anche per permettere l'accesso offline alle funzionalità e ai dati, aumenta notevolmente il bacino di utenti a rischio. Anche le URL abbreviate possono rappresentare un rischio per l'utente, un sito malevolo può essere individuato velocemente tramite un URL contraffatto, però se tale URL è nascosto dalle impostazioni del browser l'utente può cadere più facilmente in trappola.
Tuttavia c'è anche un dato positivo, gli analisti hanno rilevato che le falle e i bug di sicurezza vengono a galla in modo più rapido rispetto agli anni passati e, dunque, i developer possono correre ai ripari più rapidamente rispetto al passato. Questo perché buona parte delle librerie Web e delle API sono open source, ci sono quindi sempre più occhi puntati sul codice che possono scovare possibili rischi per la sicurezza.
Via Snyk
/https://www.html.it/app/uploads/2023/12/Android.jpg)
/https://www.html.it/app/uploads/2024/01/e-mail.png)
/https://www.html.it/app/uploads/2024/01/Microsoft-4.jpg)
/https://www.html.it/app/uploads/2024/01/PC.jpg)