• XSS Cheat Sheet

    owaspjpg.jpg

    XSS (Cross Site Scripting) è una particolare vulnerabilità che affligge le Web Application e fa leva sulla errata validazione delle variabili per iniettare nella pagina web codice html o javascript, con lo scopo di impossessarsi delle informazioni personali dell’utente come i cookie o indirizzare lo stesso verso siti realizzati ad HOC simulando interi portali con l’intento di sottrarre al malcapitato le credenziali di accesso.

    Questo tipo di vulnerabilità può essere suddivisa in tre tipologie:

    Tipo 1: l’attaccante inoltra alla vittima un URL errato contenente la vulnerabilità XSS; questa vulnerabilità non è persistente ovvero viene generata occasionalmente ad ogni accesso al suddetto link.

    Tipo 2: l’attaccante approfitta di una vulnerabilità nel sito per inoltrare un URL malformato, qualificandosi per esempio via mail come il proprietario del sito facendo così credere alla vittima di trovarsi di fronte ad un link di cui avere fiducia.

    Tipo 3: l’attaccante inserisce su di un Content Management (forum, newsletter ecc…) codice HTML/javascript, che verrà eseguito arbitrariamente da ciascun browser che processerà la pagina.

    Esistono diverse forme di attacco o di verifica per tale vulnerabilità. A tal proposito, RSnake ha reso disponibile sul proprio sito, una lista di possibili pattern di attacco XSS; tale lista è stata ripresa, inoltre, nella OWASP 2.0 Guide.

    Tra i vari progetti gestiti dalla community OWASP vi è CAL9000, una collezione di tools per il security test in grado tra l’altro di gestire questa lista di pattern.

    Tags:

    Se vuoi aggiornamenti su XSS Cheat Sheet inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenta

    Your email address will not be published. Required fields are marked *