analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CAPITOLO VI - Gli attacchi e il progetto OWASP<br />
“no cache”; in questo modo si può prevenire la possibilità <strong>di</strong> usare il tasto “back” per tornare<br />
alla schermata <strong>di</strong> login e reinviare le credenziali utilizzate precedentemente.<br />
6.5 Cross Site Scripting<br />
Il cross site scripting è <strong>una</strong> tipologia <strong>di</strong> attacco che può essere portato a compimento anche se<br />
solo uno dei tre attori principali <strong>della</strong> società informatica, cioè utenti, sviluppatori e<br />
amministratori <strong>di</strong> sistema, è incauto.<br />
Si tratta <strong>di</strong> <strong>una</strong> vulnerabilità che consente ad eventuali aggressori <strong>di</strong> inserire del co<strong>di</strong>ce<br />
arbitrario all’interno delle applicazioni web, così da mo<strong>di</strong>ficarne il comportamento per<br />
perseguire i propri fini illeciti. Il co<strong>di</strong>ce inviato, spesso sotto forma <strong>di</strong> script (JavaScript,<br />
VBScript e così via), verrà eseguito senza alcun controllo dal browser dell’utente poiché<br />
inoltrato da <strong>una</strong> sorgente ritenuta sicura: il server web da cui proviene la pagina.<br />
Figura 68 XSS con un sito vulnerabile<br />
1. l’hacker crea uno script nato per girare nel browser del client<br />
2. l’hacker inietta in qualche modo lo script nel web server<br />
3. il web server consegna lo script a uno o più client<br />
135