Ebbene, anche la vodafone soffre :( ed è vulnerabile da XSS. XSS, acronimo di Cross-site scripting è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell’input (parametri di richieste HTTP GET o contenuto di richieste HTTP POST, COOKIE ecc). Un XSS permette ad un attaccante di inserire codice lato client al fine di modificare il contenuto della pagina web visitata. Ed ecco che qui nascono i siti di phishing,i keylogger in javascript,worm che sfruttano vulnerabilità dei nostri browser per installare viruse tutto per colpa di un sito non fatto decentemente -.-’ I nostri dati sensibili, potranno essere sottratti facilmente.
Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina. Esistono due tipi di vulnerabilità XSS:
- stored: nelle quali un attaccante è in grado di modificare permanentemente il contenuto di una pagina web, ad esempio inserendo un commento opportunamente preparato ad un post in un blog.
- reflected: grazie alle quali è possibile produrre un URL che, utilizzato sul sito vulnerabile, ne altererà il contenuto delle pagine in modo non permanente ed esclusivamente per le richieste HTTP che utilizzano tali URL appositamente forgiati.
Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste HTTP. Non molto tempo fa, avevo parlato di queste “vulnerabilità” anche qui:
Hacker, questi sconosciuti … CONOSCIAMOLI !
Buona lettura ;) Naturalmente, per proteggerci da questi tipo di attacchi, consiglio per gli utenti Firefox:
http://noscript.net/getit
Mentre, per gli utenti che usano google Chrome pff in teoria sono già protetti :D
Altri approfondimenti: WikiPedia
