Tecnopolis-Hi: Sicurezza: vulnerabilità XSS, cos'è.

giovedì 29 novembre 2007

Sicurezza: vulnerabilità XSS, cos'è.

Circa un mesetto fa, mentre stavo visitando una pagina web di Google, subii un attacco XSS fortunamente bloccato dall'estensione NoScript di Firefox. Ho iniziato a documentarmi ed ho trovato degli articoli che, personalmente ritengo molto interessanti. Le vulnerabilità XSS (Cross Site Scripting) sono da tempo considerate dagli esperti di sicurezza uno dei maggiori pericoli del Web.

Un attacco XSS (cross-side scripting) si concretizza nell'invio attraverso una pagina web di un codice potenzialmente maligno e la vulnerabilità colpisce sia siti statici che dinamici. In pratica, ad un'applicazione web viene inviato uno script che, l'ignaro navigatore, avvia nel momento in cui tenta di aprire la pagina web infetta al di là del browser usato (Explorer, Firefox, Mozilla, Opera, etc) . Partito l'XSS l'autore dello script maligno può modificare facilmente le impostazioni, può inoculare false popup. L’attacco XSS appartiene alla tipologia injection, quindi si tratta di immissione di codice arbitrario in input alle pagine web. Generalmente, lo scopo di un attacco XSS, è di raccogliere dati degli utenti , leggere i cookie, dirottare l’utente su un altro sito o visualizzare falsa pubblicità.
I siti vulnerabili contegono solitamente script realizzati in Java, Flash ed in VB. Anche i siti che contengono pagine in formato .pdf hanno questa vulnerabilità. IMPORTANTE : La falla è stata corretta dall'ultima release Firefox 2.0.0.10.
Andando un pò a ritroso, possiamo constatare come vari siti informatici hanno informato gli utenti di questi pericoli per la sicurezza.

Recentissimi allarmi da:

BlogZilla

Falla "JAR:" per Firefox, XSS per Gmail

e da Mozilla Security Blog

Punto Informatico ha pubblicato diversi articoli di approfondimento :

Una vecchia falla mette Firefox nei guai

Grossa falla in AIM. Molti utenti a rischio

I cinesi attaccano le PMI italiane

E' calabrese il worm cross webmail

Da oneItSecurity : Falla nel servizio Gmail, contatti e mail a rischio di Alessandro Vinciarelli

XSS Cheat Sheet di Davide Denicolo

Grazie all'archivio storico di Data Manager possiamo leggere come il problema fosse conosciuto ed analizzato da tempo.

Dal DMO Data Manager Online: articolo a cura di Yann Bongiovanni scritto nel lontanissimo 2003 ....la tematica era già attuale per esperti come Yann.

In queste recensioni non poteva manca il report di sicurezza della celeberrima US-CERT Exploit Code Posted for XSS Vulnerability in Google Desktop Search Engine

In estrema sintesi : la sicurezza in Internet NON è un optional, servono i continui aggiornamenti del Sistema Operativo, continue scansioni con i vari software per prevenire trojan, keylogger,rootkit,malware,phishing etc. che si annidano nella rete. Ed aggiungo : la miglior difesa passa per il cervello ......a buon intenditor ;)

************************

GLOSSARIO

PopUp : Sono le finestre, fastidiose, che appaiono nel corso delle visite a un sito Web. Solitamente presentano pubblicità e causano rallentamenti nell’apertura della pagina.

US-CERT: La United States Computer Emergency Readiness Team è una partnership tra il Department of Homeland Security (Dipartimento per la Sicurezza) ed il settore pubblico e privato. Istituito nel 2003 per proteggere le infrastrutture internet della nazione, US - CERT coordina la controdifesa e risponde ai cyber attacchi in tutta la nazione.

cheyenne

Nessun commento:

Posta un commento

Disclaimer

Questo blog non rappresenta una testata giornalistica, pertanto non può considerarsi un prodotto editoriale ai sensi della legge n. 62 del 7.03.2001. L'autore, inoltre, non ha alcuna responsabilità per il contenuto dei commenti relativi ai post e si assume il diritto di eliminare o censurare quelli non rispondenti ai canoni del dialogo aperto e civile. Salvo diversa indicazione, le immagini e i prodotti multimediali pubblicati sono tratti direttamente dal Web. Nel caso in cui la pubblicazione di tali materiali dovesse ledere il diritto d'autore si prega di avvisare via e-mail per la loro immediata rimozione. I contenuti prodotti da Tecnopolis sono sotto licenza Creative Commons.