Cross Site Scripting

29 aprile 2010 - Fonte: http://www.michelepapaleo.it

1. Cos'è un xss?

Il cross site scripting (xss) è un attacco che rientra nella categoria "code injection", ovvero "iniezione di codice". Spieghiamoci meglio…Cosa si intende per iniezione di codice? è soprattutto, che tipo di codice?? Innanzitutto partiamo col precisare che non esiste una piattaforma vulnerabile ed una non vulnerabile in generale a questo tipo di attacco. L'attacco puo' essere quindi attuato su un sito web dinamico come lo puo' essere su uno non dinamico. Detto questo, chiariamo il concetto di "iniezione di codice".

...

Leggi il seguito »

Nessun commento »

Inserito in , , , , ,

Attacco Cross Site Scripting (XSS)

18 aprile 2010 - Fonte: http://nazarenolatella.myblog.it/

Abbiamo già parlato di alcuni attacchi relativi alle piattaforme Web, quale SQL Injection e Directory Traversal. In questo post mi soffermerò invece su un altro tipo di attacco, ovvero il Cross Site Scripting (detto anche XSS o CSS).

Affinchè tale attacco abbia esito positivo è necessario che in fase di realizzazione del portale vittima non vengano previsti meccanismi di controllo dell'input, permettendo quindi ad un eventuale attaccante di inserire codice client-side (come Javascript) arbitrario. Facciamo un esemio pratico: supponiamo che sia presente all'interno di una pagina Web un apposito form per l'inserimento di alcuni dati, quali nome, cognome, ecc. Invece dei dati leggittimi, l'utente malevolo procederà...

Leggi il seguito »

Nessun commento »

Inserito in , , , ,

Rilasciati Drupal 6.13 e 5.19

12 luglio 2009 - Fonte: http://www.mondocms.com

Il team ufficiale di Drupal consiglia vivamente di aggiornare quanto prima vista la pericolosità dei bug corretti, l’upgrade potrà essere effettuato sia attraverso un’installazione della nuova release, sia tramite due apposite patch (una per ogni versione) messe a disposizione dal team di sviluppo di Drupal.

Ecco le vulnerabilità corrette descritte nel bollettino di sicurezza:

Multiple vulnerabilities and weaknesses were discovered in Drupal.

Cross-site scripting

The Forum module does not correctly handle certain arguments obtained from the URL. By enticing a suitably privileged user to visit a specially crafted URL, a malicious user is able to insert arbitrary HTML and script code into forum pages. Such a cross-site scripting attack may lead to the malicious...

Leggi il seguito »

Nessun commento »

Inserito in , ,

Introduzione al Cross-Site Scripting (XSS): Cos’è il Cross-site Scripting?

22 aprile 2009 - Fonte: http://taninorulez.wordpress.com

Cross Site Scripting (XSS)

Cross Site Scripting (XSS)

...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , , ,

Corso Sicurezza PHP e MySQL

10 febbraio 2009 - Fonte: http://www.work4net.it
Questo è un video corso davvero interessante che ci spiega bene la Sicurezza nella scrittura di applicazioni in PHP e MySQL. Il contenuto del Video Corso è il seguente: Video nr° 1 - Il concetto di sicurezza nella applicazioni web Tipiche problematiche di sicurezza da considerare nella progettazione di un sito web in linguaggio php e [...]...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , ,