Abbiamo trattato un esempio pratico che dimostra la vulnerabilità del cross-site scripting codificato utilizzando la codifica dei caratteri e Brup Suite per risolvere la sfida 004 nel laboratorio gratuito OWASP Hackademic.
Il cross-site scripting (XSS) è una vulnerabilità dell'applicazione Web che consente agli aggressori di inserire script nelle pagine Web. Esistono due tipi di attacchi XSS. La protezione principale contro gli attacchi XSS è nell'applicazione web con sofisticate tecniche di convalida dell'input. OWASP consiglia vivamente l'uso di una libreria di codifica di sicurezza. Una volta implementata, una libreria di codifica sanitizzerà il codice HTML e preverrà gli attacchi XSS.
L'XSS riflesso inizia con un utente malintenzionato che crea un'e-mail dannosa e quindi incoraggia un utente a fare clic su di essa. L'URL dannoso viene spesso inserito in un'e-mail di phishing, ma potrebbe anche essere inserito in un sito Web pubblico, ad esempio in un collegamento all'interno di un commento. Quando l'utente fa clic sull'URL dannoso, invia una richiesta HTTP a un server con il cookie dell'utente che l'aggressore può utilizzare per prendere il controllo dell'account utente/amministratore attraverso il cosiddetto dirottamento della sessione.
Ottieni le note sul certificato OSCP
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Videoprocedura dettagliata
