Skip to main content

Cross-site scripting (XSS)

Errore correlato

“Questo server è vulnerabile a un attacco cross-site scripting. Verifica che i dati lato client (JavaScript) siano sicuri e convalidati.”

Problema

Il cross-site scripting è un attacco web ad applicazioni web vulnerabili che usano JavaScript. Il contenuto dannoso viene trasmesso a utenti abilitati JavaScript attraverso una sorgente non sicura o inaffidabile componendo i dati su un sink pericoloso all’interno del Document Object Model (DOM) piuttosto che in un HTML che presenta un regolare XSS.

Gli attacchi XSS si verificano quando i dati di ingresso a un’applicazione web non vengono convalidati e i dati di uscita sul browser non sono codificati in HTML.

Se gli attacchi XSS riescono, i pirati possono:

  • Assumere il controllo di un account.

  • Diffondere worm sul web.

  • Accedere alla cronologia del browser e ai contenuti della clipboard.

  • Controllare il browser da remoto.

  • Effettuare la scansione dei dispositivi e delle applicazioni intranet e sfruttarli.

Soluzione

Identificare e prevenire errori XSS nelle applicazioni web:

  1. Convalidare i dati inseriti dai browser degli utenti nell’applicazione web.

  2. Codificare ogni uscita verso i browser degli utenti dall’applicazione web.

  3. Dare agli utenti la possibilità di disattivare gli script lato client.

In questa sezione: