Il Cross Site Scripting, chiamato anche XSS, è un tipo di attacco non diretto al server. Si tratta infatti di un attacco basato su JavaScript che viene eseguito nel browser dell’utente quando viene visitato un sito web.
Nonostante, come abbiamo detto, non si tratta di un attacco diretto al server, il Cross Site Scripting può però rappresentare un attacco veramente pericoloso.
Un esempio tipico di XSS riguarda il furto dell’ID di sessione che si trova dentro al cookie.
Ma come funziona?
Cerchiamo di capirlo partendo dalla struttura di una pagina HTML.
Possiamo considerare una pagina HTML come una normale pagina cartacea, renderizzata. Al suo interno conterrà quindi un titolo, paragrafi, immagini, ecc.
Tutti questi elementi, vengono formattati in maniera appropriata tramite un codice, che viene "interpretato" dal Browser per visualizzare la pagina in maniera chiara e intuitiva. Oltre a questo codice, utile a chi scrive la pagina di poterlo fare in maniera più snella utilizzando dei tag, quindi degli abbreviativi, ne esiste un altro che ha la funzione di rendere la pagina dinamica, il cosiddetto JavaScript, che è contenuto nel tag <script>. Questi script possono animare la pagina stessa, aggiungere l’invio di dati statistici a server propri o esterni tramite chiamate HTTP, geolocalizzare l’utente, e fare un sacco di altre funzionalità, tra cui la gestione dei cookie.
La pagina HTML può inoltre avere delle funzionalità aggiuntive, come ad esempio una casella per lasciare un commento, che una volta inviato dall'utente verrà elaborato dal server e diventerà il contenuto della pagina stessa. È proprio qui che prendono forma i più letali “Stored XSS”, ovvero quei JavaScript malevoli che restano salvati all’interno della pagina. Inoltre, siccome JavaScript può manipolare i cookies, questi script XSS malevoli possono andare a prelevare l’id di sessione ed inviarlo tramite chiamata HTTP al server dell’hacker.
Ecco perché si rende indispensabile proteggere il proprio Browser per limitare ed evitare questo tipo di hack. Tag mette al tuo servizio Seraphic Security, la soluzione per la sicurezza del browser aziendale che consente alle organizzazioni di proteggere gli utenti e gli endpoint da compromissioni via Internet e di proteggere i dati da perdite o smarrimenti attraverso il browser.
Contattaci ora per saperne di più e richiedere una consulenza personalizzata.
Comments