Test di cross-site scripting

Cross-site Scripting (XSS) si verifica ogni volta che un'applicazione accetta dati non attendibili e li invia al client (browser) senza convalida. Ciò consente agli aggressori di eseguire script dannosi nel browser della vittima che possono comportare il dirottamento delle sessioni utente, la deturpazione di siti Web o il reindirizzamento dell'utente a siti dannosi.

Cerchiamo di comprendere gli agenti di minaccia, i vettori di attacco, la debolezza della sicurezza, l'impatto tecnico e gli impatti sul business di questo difetto con l'aiuto di un semplice diagramma.

Tipi di XSS

  • Stored XSS - XSS memorizzato, noto anche come XSS persistente, si verifica quando l'input dell'utente viene memorizzato sul server di destinazione come database / forum di messaggi / campo commenti ecc. Quindi la vittima è in grado di recuperare i dati memorizzati dall'applicazione web.

  • Reflected XSS - XSS riflesso, noto anche come XSS non persistente, si verifica quando l'input dell'utente viene immediatamente restituito da un'applicazione Web in un messaggio di errore / risultato della ricerca o l'input fornito dall'utente come parte della richiesta e senza memorizzare in modo permanente i dati forniti dall'utente.

  • DOM Based XSS - DOM Based XSS è una forma di XSS quando l'origine dei dati è nel DOM, anche il sink è nel DOM e il flusso di dati non lascia mai il browser.

Esempio

L'applicazione utilizza dati non attendibili nella costruzione senza convalida. I caratteri speciali dovrebbero essere evitati.

http://www.webpage.org/task/Rule1?query=try

L'autore dell'attacco modifica il parametro della query nel proprio browser in:

http://www.webpage.org/task/Rule1?query=<h3>Hello from XSS"</h3>

Mani su

Step 1- Accedi a Webgoat e vai alla sezione Cross-site scripting (XSS). Eseguiamo un attacco XSS (Stored Cross-Site Scripting). Di seguito l'istantanea dello scenario.

Step 2- Come per lo scenario, accediamo come Tom con la password "tom" come menzionato nello scenario stesso. Fare clic su "Visualizza profilo" e accedere alla modalità di modifica. Poiché Tom è l'attaccante, inseriamo lo script Java in quelle caselle di modifica.

<script> 
   alert("HACKED")
</script>

Step 3 - Non appena l'aggiornamento è terminato, Tom riceve una finestra di avviso con il messaggio "hacked" che significa che l'app è vulnerabile.

Step 4 - Ora come per lo scenario, dobbiamo accedere come jerry (HR) e verificare se jerry è interessato dallo script iniettato.

Step 5 - Dopo aver effettuato l'accesso come Jerry, seleziona "Tom" e fai clic su "Visualizza profilo" come mostrato di seguito.

Durante la visualizzazione del profilo di Tom dall'account di Jerry, è in grado di ottenere la stessa finestra di messaggio.

Step 6 - Questa finestra di messaggio è solo un esempio, ma l'attaccante effettivo può eseguire molto di più che visualizzare una finestra di messaggio.

Meccanismi preventivi

  • Gli sviluppatori devono assicurarsi di sfuggire a tutti i dati non attendibili in base al contesto HTML come corpo, attributo, JavaScript, CSS o URL in cui vengono inseriti i dati.

  • Per quelle applicazioni che richiedono caratteri speciali come input, dovrebbero esserci robusti meccanismi di convalida in atto prima di accettarli come input validi.