Scrivo qualche riga al riguardo del Cross Site Scripting (XSS) poiche' pare che nonostante se ne parli da tempo, anche molti siti italiani, soffrano di questa vulnerabilita' che tuttora non e' stata risolta.
Una vulnerabilita’ XSS (Cross Site Scripting) consiste nell'inserire codice a livello browser (spesso codice javascript pericoloso) al fine di modificare il codice sorgente della pagina web visitata per effettuare operazioni che possono andare dalla semplice visualizzazione di una finestra di alert (come vedremo negli esempi ) sino a operazioni malevoli quali il redirect su altro sito ed il prelievo di cookies privati.
La vulnerabilita' in realta' non e' attribuibile al server su cui e' hostato il sito ma si tratta solamente di una conseguenza di cattiva programmazione dell’input dati presente sulla pagina che non viene controllato a sufficienza.
Uno degli esempi piu' semplici di vulnerabilita' XSS e' quello dell'inserimento in un campo di ricerca del codice javascript che fara' visualizzare al browser una textbox sulla pagina.
Con script piu complessi e' possibile anche inserire un redirect ad altro sito.
Dopo questa brevissima premessa vediamo alcuni esempi concreti che, alla data del 12 ottobre 07, erano tutti verificabili e ripetibili.
Per questioni di sicurezza non visualizzero' lo script ma solo lo screen risultante dall'esecuzione dello script XSS
Si tratta di alcuni siti istituzionali dell'Amministrazione Pubblica dello Stato Italiano
Per maggiori delucidazioni al riguardo degli script XSS segnalo questo sito http://www.xssed.com/ che contiene un database di vulnerabilita' XSS aggiornato in continuazione e dal quale ho tratto spunto per questi esempi.
Esempio 1
Ministero Economia e Finanze
Esempio 2
Ministero Innovazione Tecnologica
Il commento sarebbe ovvio ........
Esempio 3
Italia Gov.IT (il portale Nazionale del cittadino)
Esempio 4
Ministero dei Trasporti
Tutti questi siti, rispondono ad uno script inserito nei campi di ricerca con un textbox di cui possiamo personalizzarne a piacere il contenuto.
La cosa in se stessa potrebbe non avere nessun utilizzo pratico ma cosa succederebbe se ad esempio:
1) viene creata da malintenzionati una email con un testo che invita a visitare uno di questi siti
2) il link sulla mail contiene l'url al sito che incorpora lo script XSS
3) come si visita il sito appare un messaggio sul genere 'SARETE TRASFERITI SU UNA PAGINA SICURA DEL MINISTERO .... PER ..."
.
4) viene eseguito un redirect su una falsa pagina che simula perfettamente quella del sito di partenza....
Chi non e' molto attento penserebbe di essere veramente sulla pagina ufficiale e non su una pagina di phishing con tutte le conseguenze negative del caso.
Mi pare che la correzione di questo problema che interessa i siti visti sopra non guasterebbe perche', anche se sino ad ora non sono state sfruttate queste vulnerabilita' da parte di malintenzionati, non si puo' essere certi che nessuno in futuro possa provarci.
Inoltre anche l'immagine di chi amministra questi siti non ne esce molto bene poiche' si presume che chi mantiene un sito di questa importanza debba avere la conoscenza tecnica atta a garantirne la sicurezza .
C'e' infine da ricordare che siti con problemi come questi ce ne sono migliaia sulla rete e come la pericolosita' di un XSS aumenti enormemente quando ad avere questa vulnerabilita' siano ad esempio siti di banche o e-commerce.
Edgar
Una vulnerabilita’ XSS (Cross Site Scripting) consiste nell'inserire codice a livello browser (spesso codice javascript pericoloso) al fine di modificare il codice sorgente della pagina web visitata per effettuare operazioni che possono andare dalla semplice visualizzazione di una finestra di alert (come vedremo negli esempi ) sino a operazioni malevoli quali il redirect su altro sito ed il prelievo di cookies privati.
La vulnerabilita' in realta' non e' attribuibile al server su cui e' hostato il sito ma si tratta solamente di una conseguenza di cattiva programmazione dell’input dati presente sulla pagina che non viene controllato a sufficienza.
Uno degli esempi piu' semplici di vulnerabilita' XSS e' quello dell'inserimento in un campo di ricerca del codice javascript che fara' visualizzare al browser una textbox sulla pagina.
Con script piu complessi e' possibile anche inserire un redirect ad altro sito.
Dopo questa brevissima premessa vediamo alcuni esempi concreti che, alla data del 12 ottobre 07, erano tutti verificabili e ripetibili.
Per questioni di sicurezza non visualizzero' lo script ma solo lo screen risultante dall'esecuzione dello script XSS
Si tratta di alcuni siti istituzionali dell'Amministrazione Pubblica dello Stato Italiano
Per maggiori delucidazioni al riguardo degli script XSS segnalo questo sito http://www.xssed.com/ che contiene un database di vulnerabilita' XSS aggiornato in continuazione e dal quale ho tratto spunto per questi esempi.
Esempio 1
Ministero Economia e Finanze
Esempio 2Ministero Innovazione Tecnologica
Il commento sarebbe ovvio ........
Esempio 3
Italia Gov.IT (il portale Nazionale del cittadino)
Esempio 4Ministero dei Trasporti
Tutti questi siti, rispondono ad uno script inserito nei campi di ricerca con un textbox di cui possiamo personalizzarne a piacere il contenuto.
La cosa in se stessa potrebbe non avere nessun utilizzo pratico ma cosa succederebbe se ad esempio:
1) viene creata da malintenzionati una email con un testo che invita a visitare uno di questi siti
2) il link sulla mail contiene l'url al sito che incorpora lo script XSS
3) come si visita il sito appare un messaggio sul genere 'SARETE TRASFERITI SU UNA PAGINA SICURA DEL MINISTERO .... PER ..."
.
4) viene eseguito un redirect su una falsa pagina che simula perfettamente quella del sito di partenza....
Chi non e' molto attento penserebbe di essere veramente sulla pagina ufficiale e non su una pagina di phishing con tutte le conseguenze negative del caso.
Mi pare che la correzione di questo problema che interessa i siti visti sopra non guasterebbe perche', anche se sino ad ora non sono state sfruttate queste vulnerabilita' da parte di malintenzionati, non si puo' essere certi che nessuno in futuro possa provarci.
Inoltre anche l'immagine di chi amministra questi siti non ne esce molto bene poiche' si presume che chi mantiene un sito di questa importanza debba avere la conoscenza tecnica atta a garantirne la sicurezza .
C'e' infine da ricordare che siti con problemi come questi ce ne sono migliaia sulla rete e come la pericolosita' di un XSS aumenti enormemente quando ad avere questa vulnerabilita' siano ad esempio siti di banche o e-commerce.
Edgar
Nessun commento:
Posta un commento