Sicurezza  »  Articoli  »  Approfondimento Vulnerabilità 

Cross-Site Scripting, meglio conosciuta come XSS, è una vulnerabilità che se sfruttata consente a un attaccante l'inserimento di un codice JavaScript (JS) o VBScript all'interno di un form in grado di alterare il comportamento della pagina web. Lo scopo di questo attacco può essere l'ottenimento di informazioni protette, un possibile attacco di tipo XSS può reindirizzare tutti gli utenti verso un sito nocivo in grado di leggere e memorizzare i cookie degli utenti oppure spingerli a riautenticarsi su un portale creato ad hoc incappando in un attacco di tipo phishing.

Questa tecnica, insieme alle SQL Injection, è ormai diventata la forma di attacco più comune tra quelle sfruttate da malintenzionati; illustreremo in questo articolo i principali software in grado di automatizzare la ricerca di XSS Injection all'interno di siti web.

XSSer

Figura 1. XSSer
(clic per ingrandire)

XSSer è un software open source che automatizza il processo di individuazione e sfruttamento delle vulnerabilità Cross-Site Scripting (XSS). Il software è sviluppato in Python ed è estremamente facile da usare da riga di comando, le sue principali caratteristiche sono tra le altre:

• impostazione di User-Agent personalizzati;
• autenticazione HTTP – Basic / Digest;
• supporto proxy;
• supporto a diverse tecniche di evasione;
• custom XSS payloads.

Per utilizzarlo basterà digitare da riga di comando:

$ xsser -u www.sitodaanalizzare.com

Per chi si trova meglio con un interfaccia grafica è possibile avviarla attraverso il seguente comando:

$ xsser --gtk

Download: XSSer

Altri articoli

Altre guide

Altre newsletter