XSStrike: XSS Detection open source

Torniamo sulla nostra rubrica dedicata ai tool di sicurezza. Oggi vogliamo focalizzarci sul problema del cross-site scripting (XSS) presentandovi XSStrike, una suite per la XSS Detection completamente open source. Le vulnerabilità XSS derivano non di rado dagli scarsi controlli degli input nei form presenti su siti web dinamici. Un attacco XSS consiste nell'inoculare o eseguire codice lato client con l'obbiettivo di effettuare attacchi volti alla raccolta o alla manipolazione dei dati degli utenti.

Tale tipologia di attacchi contempla l'utilizzo di qualsiasi linguaggio di scripting lato client comeJavaScript, VBScript e Flash. E' possibile annidare codice malevolo un un semplice script JavaScript che, a prima vista, potrebbe sembrare innocuo. Esistono due tipologie di vulnerabilità XSS: persistente e non persistente.

Quella più comune si chiama "non persistente" definita anche reflected. Un attacco attuato tramite dati forniti via form li sfrutta fornendo una pagina o dei risultati contraffatti. Un esempio è individuabile in alcuni motori di ricerca interni, dove il form diventa un vettore che può essere sfruttato per mostrare informazioni errate o che portano a siti di phishing.

Solitamente chi sceglie di eseguire questo tipo di attacchi sfrutta una mail o un sito con URL apparentemente attendibile, ma che in realtà serve per caricare uno script che poi verrà attivato una volta raggiunto il form del sito bersaglio.

Le vulnerabilità XSS "persistenti" (stored) sono più pericolose. L'attacco si concretizza quando i dati forniti dall'attaccante vengono salvati sul server, e quindi visualizzati in modo permanente sulle pagine normalmente fornite agli utenti durante la navigazione. Invece di attirare la vittima verso siti contraffatti, in questo caso il codice può carpire i dati direttamente dal database.

Gli XSS persistenti possono essere progettati anche per attaccare profili utente in modo simile ad un worm e propagarsi in modo incontrollato. I vettori di attacco per le vulnerabilità XSS persistenti possono essere di vario genere, ad esempio le email, i messaggi tramite un sistema di messaggistica istantanea e più in generale tutti i dati ricevuti da un'applicazione web.

XSStrike è una suite di rilevamento Cross Site Scripting equipaggiata con parser scritti dagli sviluppatori del progetto: un generatore di payload intelligente, un potente fuzzing engine e un crawler, cioè un software che analizza i contenuti di un database, di una rete o di un sito web in un modo automatizzato.

XSStrike adotta un strategia di analisi ingegnosa: analizza i risultati dei suoi tentativi di injecting tramite i parser e crea nuove tipologie di payload che dovrebbero mettere nuovamente alla prova il sito bersaglio. I payload vengono sviluppati tramite un sistema di context analysis presente nel fuzzing engine che può adattarli a seconda delle difese disponibili.

Ecco in breve le caratteristiche salienti di XSStrike:

• capacità di scansione degli attacchi Reflected e DOM XSS.
• Supporto al Multi-threaded crawling.
• Supporto alla Context analysis.
• Alta capacità di personalizzazione dell'analisi.
• Tool avanzati di WAF detection & evasion.
• Supporto completo ad HTTP.

Terminata l'analisi verrà fornito un report dettagliato utile per capire quali difese implementare. Di base esistono varie contromisure per prevenire tali vulnerabilità, come l'encoding dell'output contestuale e la convalida di input non attendibili. Ovviamente, oltre al filtrare i contenuti che l'utente può caricare, è bene porre attenzione alle possibili manipolazioni della sessione utente basata sui cookie.

Via XSStrike