Un attacco XSS (cross-side scripting) si concretizza nell'invio attraverso una pagina web di un codice potenzialmente maligno e la vulnerabilità colpisce sia siti statici che dinamici. In pratica, ad un'applicazione web viene inviato uno script che, l'ignaro navigatore, avvia nel momento in cui tenta di aprire la pagina web infetta al di là del browser usato (Explorer, Firefox, Mozilla, Opera, etc) . Partito l'XSS l'autore dello script maligno può modificare facilmente le impostazioni, può inoculare false popup. L’attacco XSS appartiene alla tipologia injection, quindi si tratta di immissione di codice arbitrario in input alle pagine web. Generalmente, lo scopo di un attacco XSS, è di raccogliere dati degli utenti , leggere i cookie, dirottare l’utente su un altro sito o visualizzare falsa pubblicità.
I siti vulnerabili contegono solitamente script realizzati in Java, Flash ed in VB. Anche i siti che contengono pagine in formato .pdf hanno questa vulnerabilità. IMPORTANTE : La falla è stata corretta dall'ultima release Firefox 2.0.0.10.
Andando un pò a ritroso, possiamo constatare come vari siti informatici hanno informato gli utenti di questi pericoli per la sicurezza.
giovedì 29 novembre 2007
Sicurezza: vulnerabilità XSS, cos'è.
Circa un mesetto fa, mentre stavo visitando una pagina web di Google, subii un attacco XSS fortunamente bloccato dall'estensione NoScript di Firefox. Ho iniziato a documentarmi ed ho trovato degli articoli che, personalmente ritengo molto interessanti. Le vulnerabilità XSS (Cross Site Scripting) sono da tempo considerate dagli esperti di sicurezza uno dei maggiori pericoli del Web.
Recentissimi allarmi da:
Punto Informatico ha pubblicato diversi articoli di approfondimento :
Grazie all'archivio storico di Data Manager possiamo leggere come il problema fosse conosciuto ed analizzato da tempo.
Dal DMO Data Manager Online: articolo a cura di Yann Bongiovanni scritto nel lontanissimo 2003 ....la tematica era già attuale per esperti come Yann.
In queste recensioni non poteva manca il report di sicurezza della celeberrima US-CERT Exploit Code Posted for XSS Vulnerability in Google Desktop Search Engine
In estrema sintesi : la sicurezza in Internet NON è un optional, servono i continui aggiornamenti del Sistema Operativo, continue scansioni con i vari software per prevenire trojan, keylogger,rootkit,malware,phishing etc. che si annidano nella rete. Ed aggiungo : la miglior difesa passa per il cervello ......a buon intenditor ;)
************************
GLOSSARIO
PopUp : Sono le finestre, fastidiose, che appaiono nel corso delle visite a un sito Web. Solitamente presentano pubblicità e causano rallentamenti nell’apertura della pagina.
US-CERT: La United States Computer Emergency Readiness Team è una partnership tra il Department of Homeland Security (Dipartimento per la Sicurezza) ed il settore pubblico e privato. Istituito nel 2003 per proteggere le infrastrutture internet della nazione, US - CERT coordina la controdifesa e risponde ai cyber attacchi in tutta la nazione.
cheyenne
Iscriviti a:
Commenti sul post (Atom)
Nessun commento:
Posta un commento