Redazione RHC : 9 Settembre 2025 07:50
All’interno di un test di sicurezza, i ricercatori di Ethiack hanno trovato un modo per aggirare anche i firewall per applicazioni Web più severi utilizzando una tecnica insolita: l’iniezione di JavaScript tramite inquinamento dei parametri HTTP. L’oggetto del test era un’applicazione ASP.NET con le regole di filtraggio più rigide. Qualsiasi tentativo di iniettare costrutti XSS standard veniva bloccato, ma grazie alle peculiarità dell’elaborazione dei parametri duplicati, i ricercatori sono stati in grado di raccogliere un payload funzionante che il firewall non aveva nemmeno rilevato.
La chiave per aggirare il problema era che il metodo ASP.NET HttpUtility.ParseQueryString() combina parametri identici utilizzando le virgole.
Pertanto, una stringa di query come q=1’&q=alert(1)&q=’2 si trasforma nella sequenza 1′,alert(1),’2. Quando inserita in JavaScript, questa diventa jsuserInput = ‘1’,alert(1),’2; – ovvero, il codice diventa sintatticamente corretto e l’operatore virgola richiama alert. Questo comportamento consente la distribuzione di frammenti dannosi su più parametri ed evita i classici controlli di firma. Mentre ASP.NET e ASP classico combinano i valori, altre piattaforme come Golang o Python Zope funzionano con gli array, quindi la tecnica non è applicabile ovunque.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Per verificarne la robustezza, sono state testate diciassette configurazioni di diversi fornitori: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb e NGINX App Protect.
Sono stati utilizzati quattro tipi di payload, rientranti in semplici iniezioni come q=’;alert(1) fino ad arrivare a quelle più complesse con delimitatori e bypass euristici. Solo Google Cloud Armor con ModSecurity, Azure WAF Default Rule Set 2.1 e tutti i livelli di sensibilità di open-appsec sono stati in grado di bloccare completamente tutte le varianti. Mentre le soluzioni AWS WAF, F5 e Cyber Security Cloud hanno fallito in tutti gli scenari. La percentuale complessiva di bypass è aumentata dal 17,6% per una richiesta di iniezione di base al 70,6% per l’inquinamento dei parametri avanzato.
L’hackbot autonomo utilizzato dai ricercatori è riuscito a trovare una soluzione alternativa per le soluzioni che hanno superato i test manuali. In Azure WAF, è stato possibile utilizzare l’elaborazione incoerente dei caratteri di escape tramite la sequenza test’;alert(1);//. In open-appsec, lo strumento ha trovato un’opzione funzionante in mezzo minuto anche per il profilo “critical”, variando le chiamate da alert a confirm e passando a costruzioni più ingegnose come q=’+new Function(‘a’+’lert(1)’)()+’. Per Google Cloud Armor, non è stato possibile aggirare il filtro, ma l’analisi ha mostrato che la logica del server è sensibile alle maiuscole e alle minuscole, il che potrebbe creare delle falle in futuro.
I risultati dei ricercatori di sicurezza evidenziano i limiti sistemici dei WAF basati su firme e persino quelli euristici. Il rilevamento completo degli attacchi distribuiti su più parametri richiederebbe una profonda comprensione della logica di un framework specifico e un’analisi nel contesto JavaScript , difficile da implementare a livello di proxy.
I tentativi di implementare il machine learning non garantiscono inoltre la sostenibilità, poiché i bot adattivi si adattano rapidamente e trovano pattern sicuri per se stessi.
In definitiva, i ricercatori ci ricordano che i firewall non possono essere l’unica barriera: la convalida degli input, un’adeguata schermatura e solide pratiche di sviluppo sono tutti elementi necessari. La combinazione di creatività umana e strumenti automatizzati dimostra quanto velocemente anche le vulnerabilità non standard possano essere esposte e perché i test continui rimangano imprescindibili.
RedazioneManuel Roccon, leader del team etico HackerHood di Red Hot Cyber, ha realizzato una dettagliata dimostrazione video su YouTube che espone in modo pratico come funziona CVE-2025-8088 di WinRAR. Il vide...
I macro movimenti politici post-covid, comprendendo i conflitti in essere, hanno smosso una parte predominante di stati verso cambi di obbiettivi politici sul medio/lungo termine. Chiaramente è stato...
Come abbiamo riportato questa mattina, diversi cavi sottomarini nel Mar Rosso sono stati recisi, provocando ritardi nell’accesso a Internet e interruzioni dei servizi in Asia e Medio Oriente. Micros...
La Commissione Europea ha inflitto a Google una multa di 2,95 miliardi di euro, per abuso di posizione dominante nel mercato della pubblicità digitale. L’autorità di regolamentazione ha affermato ...
La cultura hacker è nata grazie all’informatico Richard Greenblatt e al matematico Bill Gosper del Massachusetts Institute of Technology (MIT). Tutto è iniziato nel famoso Tech Model Railroad Club...
