(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start': new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0], j=d.createElement(s), dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src= 'https://www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f); })(window,document,'script','dataLayer','GTM-5LHNRP9'); thecodest, Autore presso The Codest - Pagina 10 di 13
Carriera Contattate
Carriera Contattate

Scenario di attacco

  1. L'attaccante individua la vulnerabilità XSS in un sito web utilizzato dalla vittima, ad esempio il sito di una banca.
  2. La vittima è attualmente collegata a questa pagina
  3. L'aggressore invia alla vittima un URL modificato.
  4. La vittima clicca sull'URL
  5. Sulla vittima banca sito web, JavaScript codice inizia ad essere eseguito per intercettare l'accesso dell'utente al file dati o eseguire un trasferimento per suo conto sul conto dell'aggressore

Vale la pena di notare che le operazioni eseguite per conto della vittima possono essere invisibili a quest'ultima, in quanto possono avvenire in background utilizzando le risorse della banca. API, oppure l'attaccante può eseguirli in un secondo momento con i dati necessari per l'autenticazione, i token, i cookie, ecc.

Tipi di XSS

1. XSS riflesso

È quello in cui il codice HTML/JavaScript contenuto in qualsiasi parametro (ad esempio GET, POST o cookie) viene visualizzato nella risposta.

Una pagina con un input di testo per cercare qualcosa che metta il parametro ricerca=focaccia nell'URL finale quando si interroga l'API. Dopo aver inserito una frase, se non viene trovata, viene inserito un messaggio di ritorno in HTML ex.

<div>Nessun risultato trovato per <b>pippo</b></div>

Possiamo provare a inserire l'URL search=..

2.DOM XSS

Ciò avviene quando la sua esecuzione è abilitata dall'uso di funzioni pericolose nell'JavaScript, come ad esempio `eval` o `innerHtml`. L'"esempio dal vivo" qui sotto mostra un attacco DOM XSS basato sull'elemento `innerHtml` funzione.

3. XSS memorizzato

Si tratta di un caso in cui il codice dannoso viene scritto sul lato server. Ad esempio, possiamo inviare un commento con codice dannoso a un post del blog che viene caricato sul server. Il suo compito è, ad esempio, quello di attendere la moderazione dell'amministratore e poi di rubare i dati della sua sessione, ecc.

Metodi di iniezione

1. Nel contenuto del tag

`onerror=alert('XSS')`in

<img src onerror="alert('XSS')" />

2. Nel contenuto dell'attributo

`" onmouseover=alert('XSS')` in

<div class="" onmouseover="alert('XSS')""></div>

  1. Nel contenuto dell'attributo senza le virgolette

x onclick=avviso('XSS')in

<div class="x" onclick="alert('XSS')"></div>

  1. Nel hrefattributo ef

javascript:alert('XSS') in

<a href="javascript:alert('XSS')"></a>

  1. Nella stringa all'interno del codice JavaScript

";alert('XSS')// in

<script>let username="";alert('XSS')//";</script>
  1. Nell'attributo con l'evento JavaScript

');alert('XSS')// dove ' è una citazione singola, in

<div onclick="change('&#39;);alert('XSS')//')">Giovanni</div>

  1. Nel href all'interno del protocollo JavaScript

);alert(1)// dove %27 è una citazione singola, in

<a href="javascript:change('%27);alert(1)//')">clicca</a>


Esempio dal vivo

Metodi di difesa

  1. Codifica dei dati utilizzando le funzioni incorporate presenti in molte linguaggi di programmazione.
  2. Utilizzo di sistemi di template con codifica automatica. La maggior parte dei framework più diffusi che utilizzano tali sistemi proteggono noi dall'iniezione di XSS (Django, Modelli, Vue, React ecc.).
  3. Non utilizzare funzioni come valutazione o Funzione con dati utente non attendibili.
  4. Non utilizzare funzioni e proprietà che assegnano codice HTML direttamente agli elementi dell'albero DOM, ad es, innerHTML, outerHTML, insertAdjacentHTML, ocumento.scrivere. Si possono invece utilizzare funzioni che assegnano il testo direttamente a questi elementi, come ad esempio testoContenuto o testo interno.
  5. Fate attenzione quando reindirizzate l'utente a un URL che è sotto il suo controllo. Rischio di iniezione location = 'javascript('XSS')'.
  6. Filtrare l'HTML utilizzando librerie come DOMPurificare.
  7. Attenzione al caricamento .html o .svg file. È possibile creare un dominio separato da cui verranno serviti i file caricati.
  8. Utilizzare il Politica di sicurezza dei contenuti meccanismo.
  9. Date un'occhiata ai filtri anti-XSS integrati nei browser più diffusi.

    Se avete trovato interessante questo articolo, seguite Lukasz su Github: https://github.com/twistezo

Per saperne di più:

Strategie di recupero dei dati in NextJS

API Rails e CORS. Un pizzico di consapevolezza

Perché si dovrebbe (probabilmente) usare Typescript?

it_ITItalian
en_USEnglish de_DEGerman sv_SESwedish da_DKDanish nb_NONorwegian fiFinnish fr_FRFrench pl_PLPolish arArabic es_ESSpanish nl_NLDutch etEstonian elGreek pt_PTPortuguese cs_CZCzech lvLatvian lt_LTLithuanian is_ISIcelandic it_ITItalian