Una delle classi di vulnerabilità più comuni nei siti Web è denominata "Cross-Site Scripting" o "XSS". Le vulnerabilità XSS sono dove è possibile per un utente causare l'esecuzione di JavaScript. Esistono diverse varianti della vulnerabilità XSS, con vari gradi di gravità.
Il problema con un utente malintenzionato che è in grado di eseguire JavaScript nelle sessioni di altri utenti è che è quindi possibile per l'attaccante fare qualsiasi cosa sul sito Web che vedono le vittime. Ciò include il reindirizzamento delle vittime a siti Web esterni, il furto di token di autenticazione e il monitoraggio dei dettagli di pagamento.
La forma più grave di vulnerabilità XSS è "Stored" o "Persistent" Cross-Site Scripting, qui è possibile per un utente malintenzionato creare un payload XSS e quindi inviarlo, in modo che venga salvato nel database. Con un exploit XSS salvato nel database è quindi possibile che influisca su altri utenti per un ampio periodo di tempo.
Un'altra forma di Cross-Site Scripting è "Reflected", questo tipo non viene salvato in nessun momento, invece, il payload è incluso nel browser. In genere, questo tipo di XSS fa parte degli attacchi di phishing, in cui un utente malintenzionato tenta di indurre una vittima a fare clic su un collegamento dannoso.
Generalmente, la maggior parte degli attacchi XSS ha il payload inviato al server ad un certo punto, ma alcuni attacchi sono puramente lato client, non vengono mai inviati al server e interessano solo JavaScript lato client. Questo è chiamato XSS basato su DOM poiché rimane nel JavaScript Document Object Model, o DOM. Questo tipo di vulnerabilità è particolarmente difficile da identificare e risolvere perché gli exploit non vengono mai visti dal server e quindi non possono essere registrati.
Storicamente la tecnica di prevenzione contro le vulnerabilità XSS consiste nel filtrare tutti i dati inviati dagli utenti, utilizzando elenchi di blocchi per rifiutare qualsiasi messaggio con caratteri o parole significativi in JavaScript. Ciò tendeva a portare a una corsa agli armamenti per trovare bypass per il filtro, impedendo anche alcuni invii legittimi degli utenti. La soluzione corretta consiste nell'utilizzare entità HTML per codificare i dati inviati dall'utente. con i moduli delle entità HTML abilitati, i caratteri vengono codificati automaticamente in un formato in cui il browser sa di visualizzarli come i simboli corretti ma non di trattarli come codice.
Se le app e i programmi non pinnati continuano a riapparire nella barra delle applicazioni, puoi modificare il file Layout XML e rimuovere le righe personalizzate.
In questo tutorial ti mostriamo come eseguire un soft o hard reset sull
Ci sono così tante fantastiche app su Google Play che non puoi fare a meno di iscriverti. Dopo un po
Cercare nella propria tasca o portafoglio il giusto documento di pagamento può essere un vero disagio. Negli ultimi anni, diverse aziende hanno sviluppato e lanciato soluzioni di pagamento contactless.
Eliminare la cronologia dei download di Android aiuta a liberare spazio di archiviazione, tra le altre cose. Ecco i passaggi da seguire.
Questa guida ti mostra come eliminare foto e video da Facebook utilizzando un PC, un dispositivo Android o iOS.
Abbiamo trascorso del tempo con il Galaxy Tab S9 Ultra, e si tratta del tablet perfetto da abbinare al tuo PC Windows o al Galaxy S23.
Disattiva i messaggi di testo di gruppo su Android 11 per mantenere sotto controllo le notifiche per l
Cancella la cronologia degli URL nella barra degli indirizzi di Firefox e mantieni le tue sessioni private seguendo questi rapidi e facili passi.
Per segnalare un truffatore su Facebook, clicca su Altre opzioni e seleziona Trova supporto o segnala profilo. Compila poi il modulo di segnalazione.
