I criminali informatici stanno diventando molto creativi nel trovare il modo di danneggiare le loro potenziali vittime. Da messaggi di posta indesiderata ed e-mail di phishing a download dannosi, gli hacker e altri malintenzionati simili utilizzeranno qualsiasi mezzo a loro disposizione. Un’altra minaccia relativamente facile da attuare per gli hacker sono gli script tra siti. Continua a leggere per sapere che cos’è esattamente, come funziona e come puoi proteggerti. Scopri anche come Avira Browser Safety può aiutarti a navigare su Internet in modo più sicuro.
Che cosa è il cross-site scripting (XSS)?
Il termine cross-site scripting (XSS) indica un tipo di attacco informatico in cui i criminali informatici sfruttano le vulnerabilità della sicurezza di un sito Web. In un attacco XSS, gli aggressori iniettano codice dannoso nel sito Web preso di mira. La particolarità è che il codice non viene eseguito nel server del sito Web visitato, ma solo nel browser del visitatore. Questo frammento di codice viene spesso inserito tramite il campo dei commenti o di ricerca. Diventa pericoloso non appena il browser lo legge ed esegue.
In questo contesto, il linguaggio di programmazione JavaScript gioca un ruolo cruciale. Gli sviluppatori lo utilizzano per incorporare elementi interattivi nei siti Web. I criminali informatici sfruttano le falle di sicurezza presenti negli script, come i campi dei commenti, le barre di ricerca e i moduli di registrazione, per iniettare il loro codice nel sito Web interessato. In questo modo, un sito Web altrimenti innocuo si trasforma in un indirizzo dannoso per gli utenti di Internet. Dato che a essere manipolati sono principalmente i campi di input, il cross-site scripting è essenzialmente paragonabile a un attacco SQL injection.
Come funziona il cross-site scripting?
In pratica, il cross-site scripting funziona sempre sfruttando le vulnerabilità di sicurezza dei siti Web. L’aggressore identifica questa vulnerabilità e inietta il proprio codice (solitamente tramite JavaScript). Non appena l’utente accede al sito Web tramite il browser, il codice dannoso viene attivato.
Esistono tre diversi tipi di cross-site scripting, ognuno con un funzionamento diverso.
XSS memorizzato
Con l’XSS memorizzato, noto anche come XSS persistente, i criminali introducono il codice non solo temporaneamente ma anche in modo permanente nel server del sito Web interessato. Nella maggior parte dei casi, viene inserito in un database ed eseguito ogni volta che un browser attiva quella sezione del sito Web.
Facciamo un esempio: un criminale informatico lascia un commento, un post su un forum o un intervento nel libro degli ospiti, memorizzando il codice dannoso in questo testo. Non appena la potenziale vittima legge questo campo di testo nel proprio browser, il codice viene eseguito in background senza che nessuno se ne accorga.
XSS riflesso
Un altro tipo di cross-site scripting è chiamato XSS riflesso. Qui non è il sito Web o un campo di input ad essere manipolato, ma il link che porta al sito Web. Quando l’utente clicca sul link, il sito Web si apre e il codice viene inviato al server come parte dell’URL. In questo modo il codice viene restituito direttamente al browser (“riflesso”) in modo che il browser lo esegua.
Facciamo un esempio: un criminale informatico invia alla sua potenziale vittima un link a un sito Web. L’URL del link contiene già codice dannoso, quindi viene eseguito immediatamente all’apertura nel browser.
XSS basato su DOM
Negli attacchi XSS locali o basati su DOM, i criminali informatici non sfruttano una vulnerabilità di sicurezza su un server Web, ma inviano tramite e-mail lo script dannoso alle potenziali vittime. Questo script dannoso viene quindi eseguito nel browser senza che nessuno se ne accorga. I criminali informatici utilizzano metodi di ingegneria sociale (come il phishing o lo spoofing) per indurre le vittime ignare a visitare un sito Web fasullo.
Tutto ciò che devi fare è cliccare su un link apparentemente affidabile inviato via e-mail, e il tuo browser avrà già integrato lo script dannoso (chiamato JavaScript lato client). Il browser accetta questo script infetto perché erroneamente lo considera parte del codice sorgente di questo sito Web apparentemente affidabile e lo esegue, mostrandoti la pagina Web a cui hai avuto accesso, anche se si tratta di una versione manipolata. Se il browser ha anche diritti speciali nel tuo laptop o PC, gli hacker possono addirittura spiare e manipolare i dati memorizzati localmente sul tuo dispositivo.
Facciamo un esempio: un utente apre una pagina tramite un link dannoso. Il browser carica la pagina Web e il codice HTML associato. Il modello DOM (Document Object Model) definisce la struttura di questo codice HTML e fornisce a JavaScript la possibilità di modificare determinati elementi della pagina. I criminali informatici modificano e manipolano questi elementi inserendo codice dannoso. Quando si visita la pagina, questo codice viene poi recuperato, scaricato dal browser ed eseguito.
Quali sono gli impatti degli attacchi XSS?
Gli impatti degli attacchi cross-site scripting sono variabili. In tutti i casi, XSS rappresenta un attacco alla sicurezza delle applicazioni Web e degli utenti che le utilizzano.
Le conseguenze più comuni del cross-site scripting includono:
- Furto di dati: i dati di accesso possono essere rubati non appena vengono inseriti, consentendo ai criminali informatici di accedere agli account degli utenti.
- Acquisizione della sessione: rubando deliberatamente i cookie di sessione, i criminali informatici possono accedere a dati sensibili e personali. Acquisendo il controllo dei cookie, i criminali informatici non hanno nemmeno bisogno di effettuare l’accesso, poiché le vittime sono già connesse durante la sessione.
- Attacchi di phishing: le vittime inseriscono informazioni sensibili, che vengono poi inviate direttamente ai criminali informatici tramite moduli di input falsificati o manipolati.
- Manipolazione dei siti Web: il codice dannoso manipola l’aspetto, il comportamento e il contenuto dei siti Web. È in questo modo che si diffondono fake news e link dannosi, danneggiando la reputazione del sito Web.
- Malware: i criminali informatici diffondono script dannosi, spyware e malware che vengono scaricati automaticamente quando visiti il sito Web. Di conseguenza, i dati vengono rubati oppure i computer risultano rallentati se non completamente paralizzati.
- Elevazione dei privilegi non autorizzata: un aggressore ottiene privilegi elevati per un’applicazione Web, ottenendo così un maggiore controllo sull’applicazione stessa o sul sistema della potenziale vittima.
Come si individua il cross-site scripting?
Poiché la maggior parte degli attacchi XSS avviene in background in modo inosservato, è relativamente difficile accorgersene per un normale utente di Internet. Fortunatamente, però, ecco alcuni suggerimenti che dovresti tenere a mente durante la navigazione:
- Struttura dell’URL: hai ricevuto un link insolitamente lungo o complesso? Se contiene anche codice di tipo HTML, fai attenzione. Tieni presente che gli URL possono essere offuscati (resi ambigui) tramite spoofing. Copia sempre prima i link negli Appunti e incollali in un editor di testo, ad esempio, per identificare la destinazione esatta.
- Comportamento del sito Web: fai attenzione ai pop-up, ai reindirizzamenti o agli elementi di design inaspettati nei siti Web che conosci.
- Avvisi del browser: i browser Internet più recenti dispongono di strumenti di protezione integrati contro gli attacchi XSS. Mantieni sempre aggiornato il browser in modo che visualizzi gli avvisi appropriati o blocchi immediatamente i contenuti sospetti.
- Moduli precompilati: se noti contenuti strani già inseriti nel campo di ricerca o dei commenti, potrebbe trattarsi di un primo segnale di un tentativo di attacco XSS.
Come puoi proteggerti dal cross-site scripting?
Prima di tutto: i gestori di siti Web devono garantire che tutti gli input degli utenti vengano filtrati e ripuliti per impedire la trasmissione di codice dannoso, ad esempio tramite link. Possono anche essere utili criteri di protezione dei contenuti per determinare quali contenuti possono essere caricati ed eseguiti in un sito Web.
Anche tu, come utente che visiti siti Web, puoi proteggerti dagli attacchi XSS. Dopotutto, gli utenti rimangono il più grande punto debole durante l’utilizzo di dispositivi e applicazioni digitali.
- Aggiorna il browser: mantieni aggiornato il browser Internet per chiudere potenziali falle nella sicurezza e usufruire sempre delle funzionalità di sicurezza più recenti.
- Leggi attentamente le e-mail: se ricevi un’e-mail senza un saluto personalizzato e con numerosi errori di ortografia, fai molta attenzione. Controlla sempre il mittente e non cliccare mai con noncuranza sui link presenti in e-mail inaspettate.
- Controlla i link: non cliccare mai su link sconosciuti e sospetti sovrappensiero. Prima di cliccare, passa il puntatore del mouse sul link per visualizzare l’URL completo nel browser o nel programma e-mail.
- Gestore di password: molte vulnerabilità di sicurezza sono nascoste nei campi di input. Un gestore di password compila automaticamente i tuoi dati solo nei siti Web legittimi. Quindi, se lo strumento non inserisce automaticamente i tuoi dati, questo potrebbe essere un segnale rivelatore di una potenziale minaccia.
- Evita i siti Web non sicuri: se possibile, visita solo siti Web che utilizzano il protocollo HTTPS. Su questi siti Web tutte le comunicazioni sono crittografate e per i criminali informatici è più difficile manipolare il traffico dati. Ciò è particolarmente importante quando sono coinvolti dati sensibili (ad esempio, servizi di online banking, acquisti e così via).
- Blocca gli script: puoi anche utilizzare un plug-in che blocca l’esecuzione di JavaScript su siti Web sconosciuti o non sicuri. Tuttavia, corri il rischio di non riuscire a visualizzare e interagire con quei siti Web come previsto.
- Cancella i cookie dal browser: elimina regolarmente i cookie. Disconnettiti sempre dai siti Web che contengono dati utente sensibili non appena non hai più bisogno di utilizzarli. Ciò impedisce agli aggressori di accedere alle sessioni.
Dovresti anche informare i gestori del sito Web se noti attività insolite. Se noti pop-up sospetti o ricevi un link compromesso, con le tue informazioni puoi proteggere altre potenziali vittime.
Naviga su Internet in tutta sicurezza con Avira Browser Safety
Ora sai a cosa fare attenzione quando si parla di cross-site scripting. Se vuoi portare la tua sicurezza su Internet a un livello superiore, scegli Avira Browser Safety. Il plug-in gratuito protegge il tuo browser da siti Web dannosi, blocca gli annunci infetti e impedisce a terzi di tracciarti.
Inoltre, rileva e rimuove le applicazioni potenzialmente indesiderate (PUA) che si sono aggiunte ai tuoi download. Con Avira Browser Safety lasci ai criminali informatici sempre meno spazio per attaccarti.
