Che cosa è Cross-Site Scripting (XSS) e perché è una minaccia alla sicurezza
Le vulnerabilità di scripting cross-site sono il più grande problema di sicurezza dei siti Web oggi. Gli studi hanno scoperto che sono sorprendentemente comuni - il 55% dei siti web conteneva vulnerabilità XSS nel 2011, secondo l'ultimo rapporto di White Hat Security, pubblicato nel giugno 2012. Mentre la maggior parte delle persone ha sentito parlare di virus informatici Una breve storia dei 5 peggiori virus informatici di All Time Una breve storia dei 5 peggiori virus informatici di tutti i tempi La parola "virus" e la sua associazione con i computer è stata apposta dallo scienziato informatico americano Frederick Cohen che l'ha usata per descrivere "un programma che può" infettare "altri programmi modificandoli per includere un possibile ... Leggi di più e altri problemi di questo tipo, le vulnerabilità XSS rimangono sconosciute alla persona media.
Una vulnerabilità di cross-site scripting consente a un utente malintenzionato di eseguire codice JavaScript arbitrario (da un altro sito) su una pagina Web. Il codice viene eseguito sulla pagina Web nel browser dell'utente.
Un esempio: il worm Twitter StalkDaily
Diamo un'occhiata a un attacco XSS avvenuto in passato con Twitter. Nel 2009, il worm StalkDaily Qual è la differenza tra un verme, un trojan e un virus? [MakeUseOf Explains] Qual è la differenza tra un worm, un trojan e un virus? [MakeUseOf Explains] Alcune persone chiamano qualsiasi tipo di software dannoso un "virus informatico", ma ciò non è accurato. Virus, worm e trojan sono diversi tipi di software dannoso con comportamenti diversi. In particolare, si sono diffusi molto ... Leggi di più proliferato su Twitter. Quando un utente Twitter ha visitato la pagina del profilo di un utente infetto, anche la pagina del profilo è stata infettata, diffondendo il worm. Il worm ha anche inviato tweet da ciascun account infetto.
Quindi, come ha funzionato esattamente il worm StalkDaily? Qualcuno ha hackerato i server web di Twitter? Non del tutto - sebbene fosse una specie di hack.
Ogni utente di Twitter può impostare una breve biografia sulla propria pagina del profilo. Gli utenti inseriscono il testo in una casella del profilo e, una volta salvato il profilo, il testo viene visualizzato nella pagina del profilo. Qualcuno si è reso conto che Twitter non ha correttamente disinfettato l'input di testo dalla bio box (ci arriveremo più tardi) - ha appena inserito il testo che gli utenti hanno inserito direttamente nel codice sorgente della pagina web. Questo ha permesso a un utente di inserire un codice HTMLL