Cross Site Scripting - Riconoscimento automatico

Il web 2.0 è veloce ed interattivo grazie all'uso sempre più massiccio di JavaScript e iFrames. Tali tecnologie sono però vulnerabili ad attacchi Hacker e di Cross-Site-Scripting.
 

Un esempio pratico

Un nuovo utente si registra in un forum online. Nel campo "Nome" inserisce un codice nocivo al posto del proprio nome. L'utente maleintenzionato inserisce ora un nuovo contributo nel forum. Laddove dovrebbe essere visualizzato il proprio nome, viene ora eseguito il codice maligno. L'esecuzione di tali programmi nocivi, è solo un esempio molto semplice di Cross Site Scripting (XSS).
 

Cross Site Scripting und SQL Injection - Spitzenreiter aller Negativ-Charts

Ogni anno vengono pubblicati gli elenchi delle vulnerabilità più pericolose e degli errori di programmazione più diffusi che fanno riferimento alle varianti di attacco sopra riportate (vedi CWE/SANS e OWASP). Entrambe le versioni si basano su errori di programmazione. Insufficienti controlli sugli input dell'utenza mettono a repentaglio lo stato di sicurezza delle applicazioni online. Tali errori possono essere rilevati utilizzando uno strumento in grado di riprodurre automaticamente input maligni. Per trovare le vulnerabilità, bisogna cercarle.
 

Le problematiche Web 2.0

Wikipedia definisce il Cross Site Scripting come "una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input." Molte applicazioni Web 2.0 tendono ad integrare molti contenuti in un nuovo contesto. Immagini profilo, formulari, commenti, previsioni metereologiche, notizie e messaggi pubblicitari, solo per citare alcuni servizi, vengono inseriti in un uovo contesto per andare a formare una nuova pagina web. Valutare in maniera corretta la seriosità e affidabilità dei fornitori dei singoli servizi 2.0 e mantenerne sotto controllo il pressoché infinito flusso di funzionalità e interagibilità diverrà in futuro una grossa sfida anche per i programmatori più competenti. 
 

Penetration test automatizzati riscontrano rapidamente gli errori tipici delle applicazioni

Per riuscire ad individuare ogni singolo errore presente in un'applicazione è necessario un accurato Code-Reviews. Anche gli sepcialisti più esperti sono spesso impegnati giorni o addirittura settimane nell'analizzare le vulnerabilità delle applicazioni colpite da problemi di sicurezza. Ciò implica la necessità di rendere accessibili a terzi il codice sorgente dell'applicazione. Spesso però sono piccoli e banali errori che rendono le applicazioni vulnerabili e attaccabili da utenti malintenzionati.
 

Vulnerability Scans per applicazioni WEB a prezzo fisso

CORONIC consiglia di avvalersi della sua esperienza per effettuare Penetration Tests allo scopo di individuare falle di sicurezza nelle applicazioni web. L'esperienza ci insegna che con un minimo sforzo, spesso meno di 2 giorni lavorativi, si è in grado di individuare le vulnearbilità che più spesso vengono sfruttate per compromettere la sicurezza dei servizi offerti. Ciò consente di compiere il primo passo in direzione sicurezza già Con un budget molto piccolo.  

Abbiamo suscitato il vostro interesse?

Rivolgetevi quindi al Dr. Frank Bock. Sarà lieto di fornirvi di assistervi personalmente.