Che Cos'è Un Attacco XSS E Cosa Puoi Fare Al Riguardo?

Il mondo sta cominciando a svegliarsi su qualcosa noto come vulnerabilità di cross-site scripting (XSS). Anche se credo sia una cosa positiva che il problema venga affrontato nei siti web di tutto il mondo, non penso sia molto utile per noi essere ignoranti su cosa sia. Dopotutto, la maggior parte degli attacchi XSS sono prevenibili dalla potenziale vittima. Su internet, è tua responsabilità armarti contro qualsiasi minaccia affinché tu non diventi una vittima. Per capire come puoi proteggerti contro l’XSS, devi prima sapere cos’è l’XSS e come può influenzarti, poi come prevenirlo.

Cos’è l’XSS?

La definizione è nel suo nome. Un attacco XSS viene eseguito modificando un URL in un modo che può consentire l’iniezione di determinati script. Ad esempio, puoi far apparire un sito web completamente diverso all’interno di un frame della destinazione dell’URL.

Guarda un esempio dell’URL modificato:

xss-sample-url

Vedi dove è stato iniettato lo script? In questo esempio, è piuttosto facile perché inizia con “

Come Ti Influenza L’XSS?

L’XSS può essere utilizzato in vari modi. Alcuni possono semplicemente pubblicare un link su Twitter contenente l’URL malevolo. Twitter fa metà del lavoro per loro coprendo parzialmente l’URL. I link contestuali all’interno di blog e siti web non affidabili possono contenere URL mascherati dal “testo di ancoraggio” (che è un altro modo elegante di descrivere il testo sottolineato e blu).

Quando clicchi sul link, possono accadere diverse cose. Nel miglior scenario possibile, sperimenterai solo uno “scherzo”, per così dire. In altre parole, verrai indirizzato a una pagina con un sacco di contenuti falsi, forse mostrando credito al gruppo che ha eseguito l’attacco XSS. Nel peggior scenario possibile, il tuo browser sperimenterà sintomi da incubo. Potresti avere la tua homepage cambiata, e diversi fastidi possono verificarsi sul tuo computer a causa di malware eseguito.

L’XSS può anche essere utilizzato per rintracciarti installando cookie sul tuo computer senza il tuo consenso. Raccogliere questi dati potrebbe consentire agli hacker di comprendere meglio una “demografia digitale” delle persone che stanno prendendo di mira per future infezioni da malware. In tal caso, potresti nemmeno accorgerti di nulla che stia accadendo sul tuo computer o dispositivo mobile.

Quanto È Pericoloso L’XSS?

xss-fakepage

Detto ciò, l’XSS di solito non è molto pericoloso. Può essere fastidioso, ma non presenterà conseguenze a lungo termine, almeno non nel breve termine. Tuttavia, fai attenzione alle combinazioni tra attacchi XSS e altri tipi di comportamenti malevoli!

Ad esempio, supponiamo che Facebook sia vulnerabile all’XSS. Un hacker può facilmente iniettare una falsa pagina di accesso all’URL di Facebook. Effettueresti l’accesso con successo (poiché la pagina falsa può inviare le tue credenziali sia a Facebook che al proprio database), ma l’hacker avrà ora il tuo nome utente e password. Qui si presenta il vero pericolo dell’XSS.

Come Proteggerti Contro L’XSS

Un giorno, l’XSS sarà solo un ricordo del passato. Ma fino ad allora, devi imparare a prevenire di cadere nella trappola dell’XSS. Ogni volta che entri in una pagina, dai un’occhiata all’URL. Se c’è qualcosa che indica che c’è uno script lì dentro (come i caratteri “<” e “>” che circondano una parola), allora è saggio usare il tuo discernimento e forse andartene. Inoltre, fai attenzione agli URL dei link. Fai clic destro su ogni link e copialo negli appunti. Incolla l’URL nella tua applicazione di note e controllalo prima di entrare.

Se hai un sito web che stai sviluppando tu stesso, leggi questo foglio di trucchi. Questo proteggerà te e i tuoi visitatori dall’XSS. Assicurati di inviare il foglio di trucchi a qualsiasi sviluppatore web tu conosca. Lo apprezzerebbero.

Se hai ulteriori domande sull’XSS, assicurati di lasciarle in un commento qui sotto!