Le vulnerabilità di Cross Site Scripting avvengono quando un’applicazione include dei dati non fidati in una pagina web senza opportuna validazione ed Escaping (senza quindi neutralizzare quei caratteri speciali che separano il flusso di controllo dai dati).
Nelle applicazioni moderne, come ad esempio le Single Page Application sviluppate con React, AngularJS, Vue.js, o quelle che fanno forte uso di JavaScript e jQuery, la problematica di XSS si presenta quando viene aggiornata una pagina web esistente con dati inviati dall'utente utilizzando una API del browser che crea HTML o JavaScript.
Gli XSS permettono ad un attaccante di eseguire script nel browser della vittima e quindi possono prendere il controllo della sessione utente, effettuare il Deface (cambiare l’aspetto) del sito web, o redirigere gli utenti ad un sito malevolo.
| OWASP Top 10 Application Security Risks - 2017 | Riferimento |
|---|---|
| A7:2017-Cross-Site Scripting (XSS) | OWASP |
Gli XSS rientrano nel reame delle vulnerabilità di Injection in quanto viene a mancare la separazione tra il flusso di controllo (i tag HTML e la struttura DOM della pagina web) ed i dati inviati dall’utente o prelevati dal database.
Una volta che flusso di controllo e dati sono appiattiti in un unico flusso testuale il browser non avrà più alcun modo per ricostruire le iniziali intenzioni dello sviluppatore, e quindi bovinamente eseguirà il codice malevolo iniettato dall’attaccante.Francesco Ongaro
