Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Scopriamo il Cross-Site Scripting (XSS) tra codice sorgente ed exploit

Redazione RHC : 28 Giugno 2023 08:23

Il Cross-Site Scripting (XSS) è una vulnerabilità di sicurezza che si verifica quando un attaccante inserisce del codice malevolo (solitamente JavaScript) in una pagina web visualizzata da altri utenti. L’obiettivo dell’attaccante è quello di eseguire codice sul browser dell’utente e di rubare informazioni sensibili come cookie, password e altre informazioni personali.

L’attacco XSS si verifica quando un’applicazione web non valida correttamente o filtra i dati immessi dagli utenti e li utilizza senza alcuna verifica o protezione. In questo caso, l’attaccante può inserire codice malevolo nei campi di input dell’applicazione web, come campi di ricerca o di commento, che poi verranno visualizzati agli utenti che accedono alla stessa pagina web.

I tre principali tipi di Cross-Site Scripting (XSS)

Ci sono tre tipi principali di attacchi XSS:

  1. Stored XSS: in cui il codice malevolo viene immagazzinato su un server e viene eseguito ogni volta che un utente accede alla pagina web in cui è stato inserito.
  2. Reflected XSS: in cui il codice malevolo viene inserito nell’URL della pagina web e viene eseguito quando l’utente accede a tale URL.
  3. DOM-based XSS: in cui il codice malevolo viene eseguito lato client, utilizzando JavaScript, e non viene trasmesso al server.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Per proteggersi dall’attacco XSS, è importante che le applicazioni web filtrino e validino correttamente i dati immessi dagli utenti e che utilizzino tecniche di protezione come l’encoding delle stringhe di input e l’utilizzo di header HTTP come Content-Security-Policy (CSP). Inoltre, gli utenti devono prestare attenzione ai link sospetti e alle email di phishing che possono contenere codice malevolo.

Un esempio pratico tra codice ed exploit

In questo esempio analizzeremo una semplice vulnerabilità di Cross Site Scripting osservando prima il codice sorgente e poi un exploit che sfrutta la falla di sicurezza.

Ricordiamo sempre che un exploit è un programma o un codice che sfrutta una vulnerabilità presente in un software o sistema per ottenere un accesso non autorizzato o per causare danni al sistema stesso. L’exploit può essere utilizzato da un attaccante per eseguire codice malevolo, rubare informazioni o causare altri danni al sistema.

Ecco un esempio di codice sorgente PHP che contiene una vulnerabilità di XSS: 

Benvenuto " . $name . "!";
?>

In questo esempio, il parametro name viene passato come input dal client al server attraverso il metodo GET. Tuttavia, il codice non filtra o valida la variabile name prima di stamparla sulla pagina.

Questo significa che un utente malintenzionato può inserire del codice HTML o JavaScript malevolo nella variabile name, che verrà poi eseguito sul browser dell’utente che accede alla pagina.

Ecco un esempio di exploit che sfrutta questa vulnerabilità:

http://example.com/welcome.php?name=

In questo caso, l’attaccante ha inserito del codice JavaScript tra i tag e nella variabile name. Quando l’utente accede alla pagina, il codice JavaScript viene eseguito automaticamente e visualizza una finestra di alert con il messaggio “XSS”.

In un attacco reale, l’attaccante potrebbe utilizzare questa vulnerabilità per rubare informazioni personali dell’utente, ad esempio utilizzando JavaScript per inviare i cookie dell’utente ad un server controllato dall’attaccante.

Per evitare questa vulnerabilità, il codice dovrebbe filtrare e validare correttamente l’input dell’utente, ad esempio utilizzando la funzione htmlspecialchars() per codificare i caratteri speciali HTML e prevenire l’esecuzione del codice JavaScript inserito dall’utente.

Ad esempio in questo codice,

Come evitare gli attacchi di Cross-Site Scripting

Gli attacchi XSS possono essere prevenuti implementando alcune misure di sicurezza, tra cui:

  1. Validazione dell’input utente: assicurarsi che l’input utente venga validato in modo adeguato, ad esempio utilizzando filtri per rifiutare l’input non valido o limitare la lunghezza dell’input.
  2. Codifica dell’output: assicurarsi che l’output venga correttamente codificato, ad esempio utilizzando la funzione htmlspecialchars() di PHP per convertire i caratteri speciali in entità HTML.
  3. Utilizzo di librerie di prevenzione XSS: molte librerie JavaScript, come jQuery, forniscono metodi per evitare gli attacchi XSS. Ad esempio, jQuery fornisce la funzione .text() per impostare il contenuto di un elemento come testo semplice, evitando così l’inserimento di codice HTML.

Tra le librerie di prevenzione XSS più famose ci sono:

  1. OWASP ESAPI (Enterprise Security API): una libreria Java open source che fornisce metodi per prevenire gli attacchi XSS e altri tipi di attacchi comuni.
  2. DOMPurify: una libreria JavaScript che pulisce il contenuto HTML di una pagina web per rimuovere qualsiasi codice pericoloso.
  3. HTML Purifier: una libreria PHP che valida e pulisce il contenuto HTML di una pagina web per evitare gli attacchi XSS e altri attacchi basati su HTML.

Implementare queste misure di sicurezza può aiutare a prevenire gli attacchi XSS e proteggere il tuo sito web dagli hacker.

L’importanza dello sviluppo sicuro del codice oggi

Lo sviluppo sicuro del codice è un’importante pratica per garantire che i software moderni siano protetti contro le minacce informatiche, come gli attacchi informatici, le vulnerabilità e i bug.

In un mondo sempre più digitale, i software sono presenti in ogni aspetto della vita moderna, dalla gestione dei dati aziendali alle transazioni finanziarie online, dall’assistenza sanitaria all’intrattenimento. Con l’aumento della quantità di informazioni sensibili che vengono scambiate attraverso questi sistemi, la sicurezza dei software diventa sempre più critica.

Lo sviluppo sicuro del codice aiuta a proteggere le informazioni personali, finanziarie e aziendali dagli attacchi informatici, come ad esempio l’hacking, il phishing e l’iniezione di codice malevolo. Questa pratica comprende l’adozione di procedure e tecniche di programmazione che riducono il rischio di vulnerabilità, come la validazione dei dati di input, la gestione sicura delle password e la gestione degli errori.

Inoltre, lo sviluppo sicuro del codice aiuta anche ad aumentare la fiducia degli utenti nei software e nei servizi online, migliorando la reputazione dell’azienda che li fornisce. Ciò può portare ad un maggior utilizzo di questi servizi e a un maggior successo commerciale.

In sintesi, l’importanza dello sviluppo sicuro del codice su software moderni deriva dalla necessità di proteggere le informazioni sensibili, di aumentare la fiducia degli utenti e di garantire la continuità degli affari.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

“Italia, Vergognati! Paese Mafioso!”. Insulti di Nova all’Italia dopo l’Attacco al Comune di Pisa

I black hacker di NOVA tornano a colpire, e questa volta con insulti all’Italia dopo la pubblicazione dei dati del presunto attacco informatico al Comune di Pisa. Dopo aver rivendicato l’...

Europol Operazione RapTor: 270 arresti e 184 milioni sequestrati. Crollano i mercati del Dark Web

Un’operazione globale di contrasto coordinata dall’Europol ha inferto un duro colpo alla criminalità underground, con 270 arresti tra venditori e acquirenti del dark web in dieci pa...

Scoperto il primo bug 0day da una AI sul kernel Linux! Un punto di svolta nel bug hunting?

Una vulnerabilità zero-day nel kernel Linux, è stata scoperta utilizzando il modello o3 di OpenAI. Questa scoperta, alla quale è stata assegnata la vulnerabilità CVE-2025-37899, se...

Hai seguito un bel tutorial su TikTok e non sei stato attento? Bravo, ti sei beccato un malware!

In un preoccupante segnale dell’evoluzione delle tattiche cybercriminali, i threat actor stanno ora sfruttando la popolarità di TikTok come canale per la distribuzione di malware avanzati ...

Lumma Stealer: inizio del takedown o solo una mossa tattica?

Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006