XSS Cross-site scripting: il manuale prêt-à-porter dell’attacco più cercato

Finalmente ci siamo.

Abbiamo passato mesi prima di trovare il giusto taglio da dare a questo articolo e finalmente ci siamo riusciti. Da sempre ci siamo posti l’obiettivo di parlare ai nostri lettori di ogni genere di argomento di sicurezza informatica in modo diretto, semplice ed efficace.

Questa volta l’impresa è stata ben più ardua perché come vedrete, nell’articolo parleremo di un attacco informatico forse tra i più temibili per i proprietari di siti web o per gli sviluppatori di applicazioni ovvero, il cross site scripting.

Cercheremo fin da ora di spiegare questa minaccia senza utilizzare definizioni e termini tecnici. A tal proposito, se arriverete a fine articolo sapremo di esserci riusciti.

Una breve premessa.
Gli attacchi XSS Cross Site Script sono davvero numerosi e l’unico limite posto alla nascita di nuove metodologie è la fantasia degli hacker di nuova generazione.

Mettetevi comodi e concedetevi un momento solo per voi.
State per leggere tutto quello che avete sempre voluto sapere sugli attacchi XSS e sulla vulnerabilità cross-site scripting.

In questo articolo parleremo di come si svolge e che cosa fa un attacco XSS. Vi parleremo con la massima trasparenza di quali sono le modalità di prevenzione XSS. Ma nello specifico, nel nostro articolo troverete i seguenti punti:

• Che cos è XSS o Cross-site scripting?

• Tipologie di Cross Site Script

• Come si riconosce un attacco di XSS Cross-site scripting?

• Finalità di un attacco XSS Cross-site scripting

• XSS Cross-site scripting come vulnerabilità di siti web

• Cross-site scripting e vulnerabilità collegate

• XSS Cross-site scripting secondo OWASP

• Gli effetti della violazione di un sito web tramite Cross-Site Scripting

• Come identificare la vulnerabilità Cross site scripting

• Come proteggere i siti web dagli attacchi XSS

• Onorato Informatica, osservatorio interno contro attacchi XSS

Ebbene, dare una definizione non tecnica di XSS o cross site scripting è davvero complesso, ma contro qualsiasi previsione, noi di Onorato Informatica ci siamo riusciti.

Il cross-site scripting è un attacco informatico che permette all’hacker o al criminale informatico di inserire una riga di codice infetto all’interno di un sito o un’applicazione web. Una volta inserito questo codice (chiamato in gergo anche script), l’hacker può installare un malware o sfruttare gli elementi del sito stesso per fini illegali. Solitamente queste azioni sono volte al solo scopo di registrare informazioni.

Ecco perché spesso e volentieri i malware “iniettati” all’interno delle pagine web sono in grado di recepire tutte le informazioni, dati sensibili e ogni genere di azione che si compie all’interno del sito.

In origine questo attacco informatico prevedeva l’inserimento di codice in linguaggio Javascript tuttavia, oggi la minaccia si è evoluta al punto che ha coinvolto altri linguaggi di programmazione come ActiveX, il semplice Java, VBscript, Flash e udite udite persino l’HTML.

Possiamo definire l’attacco XSS come un’infezione informatica sofisticata e diretta: l’hacker sa esattamente chi, quando e dove colpire un sito web pertanto, questo genere di crimini informatici, se rilevati, sono estremamente difficili da rimuovere.

A tal proposito, l’attacco di cross site scripting è divenuto con il tempo una delle minacce per il mondo web più imponenti di tutte.

Saremo brevi e estremamente chiari. Esistono 3 tipi di Cross-site scripting (anche denominati types of cross site scripting).

Ecco l’elenco di tecniche XSS:

• Cross-site scripting locale (o DOM-based);
• Scripting cross-site riflesso
• Cross-site scripting persistente

Non vogliamo dilungarci nella descrizione di ognuna di queste metodologie di attacco XSS pertanto, se volete saperne di più sui metodi di attacco cross-site scripting, scriveteci un messaggio compilando il form qui.

Arriviamo alla nota dolente, il vero problema di ogni XSS attack.

Purtroppo per i siti web/applicazioni non adeguatamente protetti contro gli attacchi cross site scripting non c’è modo di scoprire se si è infetti. Questo succede perché purtroppo l’applicazione o il sito web eseguono in automatico i codici ricevuti e non sono in grado di discriminarne l’origine o gli effetti.

A onor del vero, è impossibile che l’utente o lo sviluppatore medio si accorga se è in corso un attacco XSS.
Tuttavia, esistono dei test informatici in grado di rilevarli. Ma di questo, ne parleremo nel corso dell’articolo.

Come nel 99% degli attacchi informatici, lo scopo finale di un XSS attack è il vile denaro.

Ma ci spieghiamo meglio, se riuscito, un attacco di cross site scripting serve all’hacker per sottrarre in qualsiasi momento, informazioni, cookie, token di sessione, dati di navigazione e credenziali. Tutte queste informazioni vengono poi sfruttate dall’hacker per diverse finalità: se si tratta di credenziali verranno vendute su appositi portali nel deep web, se si tratta di informazioni di navigazione o dati possono essere girati ai vostri concorrenti dietro pagamento di denaro e così via.

Se all’inizio della scoperta del cross-site scripting si pensava che fosse una tipologia di attacco che sfruttava un cumulo di vulnerabilità informatiche, dal 1990 sappiamo che l’attacco XSS è dovuto proprio ad una specifica falla web: XSS Vulnerability.

Brevemente, la vulnerabilità cross-site scripting è una vulnerabilità classificata come injection vulnerability che è presente su una pagina web (di un sito o di un applicazione) e che permette per l’appunto, l’inserimento di codice non autorizzato. Quando qualsiasi utente entra nella pagina il codice malevolo viene eseguito normalmente e all’utente non viene mostrato alcun cambiamento.

Si stima che oltre il 12% di tutti gli attacchi informatici via web, venga eseguito proprio con questa tecnica.

In questo piccolo paragrafo, e di questo ci scusiamo, utilizzeremo termini leggermente più tecnici.

Tuttavia, all’interno di un articolo sul metodo Cross-site scripting non possiamo certo tralasciare tutte quelle vulnerabilità che sono correlate allo sfruttamento XSS e delle quali gli hacker più esperti ne approfittano per condurre un attacco informatico mirato.

Spesso e volentieri gli hacker che trovano vulnerabilità XSS sfruttano anche altre falle del sito web.

Un metodo che viene sfruttato a tal proposito è la manipolazione dell’HTTP header injection. In seguito a questo attacco, l’hacker può sviluppare un processo di cross-site scripting.

Ma non è tutto, un attacco cross-site costituisce spesso il vettore per ulteriori attacchi, come ad esempio spam, phishing o anche attacchi DDoS.

Esiste un’associazione internazionale che, come noi, sostiene la pericolosità della vulnerabilità di Cross-site scripting e si occupa di identificare le Top 10 vulnerabilità per siti web. L’associazione in questione è OWASP e la lista delle 10 vulnerabilità viene denominata Top 10 Web Application Security Risks.

Se siete interessati ad approfondire l’argomento di cross site scripting OWASP, abbiamo scritto un articolo a riguardo proprio nel nostro blog, ma torniamo a noi.

OWASP colloca la vulnerabilità XSS al 7 posto della sua lista e definisce per filo e per segno quali sono le conseguenze di un attacco informatico di questa entità. Per riassumervi l’opinione di OWASP nei confronti di attacchi e vulnerabilità diremo che i difetti XSS sono difficili da identificare e da rimuovere in un’applicazione o sito web.

Veniamo al dunque, questo è il paragrafo che interessa la maggior parte degli utenti perché tratta gli effetti di un attacco XSS a danno della persona e del sito web infettato.
Se il tuo sito o la tua applicazione web sono affetti da vulnerabilità XSS e un hacker la sta sfruttando per portare a termine un attacco mirato, le azioni che verranno intraprese sono:

• l’hacker avrà probabilmente accesso a tutte le informazioni che sono state lasciate qua e là sul sito. Nel caso di un’e-commerce potrebbe avere l’accesso ai cookie e quindi a tutte le informazioni precedentemente salvate (password e nome utente);

• l’hacker può accedere alla tua geolocalizzazione, in casi estremi alla webcam, al microfono del pc e persino ad alcuni documenti del file system; 

• se le abilità dell’hacker sono particolarmente avanzate la vulnerabilità XSS permette l’installazione di malware trojan , keylogger e consente di effettuare furti d’identità.

Ovviamente, in base alla tipologia dell’attacco e quanto è elevato l’interesse dell’hacker per violare il sito, gli effetti di un attacco cross-site scripting si intensificano.

Veniamo dunque alle notizie positive e costruttive.
Facciamo una piccola premessa per rassicurarvi e per far sì che le violazioni XSS si riducano all’osso con il passare del tempo. Identificare una vulnerabilità XSS oggi è possibile e facile: serve effettuare un Vulnerability Assessment.

Il Vulnerability Assessment è un test informatico che serve a trovare le vulnerabilità all’interno di un sito o di un applicazione web. All’interno di un Test di vulnerabilità esistono dei moduli specifici che identificano le violazioni XSS, questi test sono definiti: cross site tracking.

Il Vulnerability Assessment è una scansione informatica estremamente importante per sviluppatori ma anche per coloro che possiedono un applicazione web. Infatti grazie a questo test è possibile non solo capire i punti deboli della propria infrastruttura web ma soprattutto è importante al fine di sistemare le vulnerabilità XSS (in gergo fix xss vulnerability).

Il test indicherà i punti esatti dove viene rilevata questa anomalia e come porvi rimedio prima che un hacker possa sfruttarla.

Una volta effettuato l’intervento di rimozione vulnerabilità cross-site scripting, il Vulnerability Assessment continua a monitorare lo stato di salute del sito/applicazione web affinché la vulnerabilità non si ripresenti più.

Facciamo chiarezza, fare prevenzione attacco XSS è possibile e oltremodo, estremamente semplice.

Mentre per la maggior parte degli sviluppatori software risulta normale intervenire dopo aver progettato un sito o un applicazione, Onorato Informatica consiglia sempre di implementare servizi di prevenzione cross-site scripting (o protection xss).

Tra i servizi di prevenzione dagli attacchi XSS è incluso il Vulnerability Assessment per tutti i clienti. Contrariamente a quanto si possa pensare, l’azione di un firewall delle applicazioni web non protegge dallo scripting cross-site. La loro azione rende l’attacco più difficile da finalizzare: ma la vulnerabilità è resta presente.

Il nostro articolo su XSS o Cross-site scripting è terminato.
Possiamo dirvi che tutti i siti o applicazioni web possono essere protette contro gli attacchi XSS, ma ricordate sempre che la loro sicurezza richiede costanza e monitoraggio continui. Per questo consigliamo sempre, se siete un’azienda, di dotarvi di tutti i sistemi di sicurezza necessari affinché i virus e gli hacker non riescano a colpirvi.

Ma chi siamo noi?

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.