\n<script>\n<![CDATA[\nCoughUpYourPreciousData();\n]]>\n<\/script><\/code><\/pre>\n\n Ci\u00f2 potrebbe, ad esempio, indurre la persona successiva che visita quella pagina a inviare una copia dei propri cookie a un utente malintenzionato.\n<\/p>\n
\n Puoi vedere che in questo esempio, la stringa di codice sopra non assomiglia per niente al nome di qualcuno. Il tuo server non lo sa, ma usando alcuni parametri impostati, puoi insegnarlo. Ad esempio, puoi dire a quel campo di rifiutare i caratteri speciali, come ,() e ; (non sono particolarmente necessari in una sezione commenti). Puoi dire a quel campo che il nome di una persona probabilmente non contiene numeri. Se sei disposto a essere un po' draconiano, puoi dire a quel campo di rifiutare gli input che sono lunghi pi\u00f9 di quindici caratteri (oppure puoi cambiare i valori come preferisci). Prendere questi passaggi limiter\u00e0 drasticamente la quantit\u00e0 di danno che un attaccante pu\u00f2 fare con un particolare campo.\n<\/p>\n
![\"\"](\"https:\/\/inform.click\/wp-content\/uploads\/2022\/11\/post-327507-638448ef92725.webp\")
<\/a><\/p>\n\n Anche con la convalida dei dati, potrebbero esserci moduli o campi in cui non \u00e8 possibile limitare realisticamente il tipo di caratteri utilizzati, ad esempio in un modulo di contatto o in un campo di commento. Quello che puoi fare \u00e8 disinfettare i dati. Questo processo rende impossibile l'esecuzione dell'HTML in un dato campo, convertendo tutto ci\u00f2 che potrebbe essere riconoscibile come parte di codice eseguibile in caratteri non codificanti. Ad esempio, un collegamento ipertestuale non verr\u00e0 visualizzato dove altrimenti potrebbe essercene uno.\n<\/p>\n
\n Infine, ci sono casi in cui il tuo sito potrebbe finire per visualizzare dati non sicuri per gli utenti. Supponiamo che qualcuno scriva un commento dannoso su una delle tue pagine, che viene successivamente indicizzata dalla funzione di ricerca del tuo sito web. Ogni volta che uno dei tuoi utenti esegue una ricerca, quel codice dannoso viene eseguito quando il suo browser carica i risultati della ricerca. Ci\u00f2 \u00e8 impedito dall'escape dei dati, che garantisce che quando il tuo sito fornisce dati a un utente, l'unico codice che viene eseguito \u00e8 il codice che desideri eseguire.\n<\/p>\n
\n Per ulteriori informazioni sulla convalida dei dati, sulla sanificazione dei dati e sull'evasione dei dati, il Codex di WordPress<\/a> ha una risorsa eccellente. Spiegher\u00e0 in dettaglio i concetti di cui sopra e fornir\u00e0 altri esempi che possono essere applicati universalmente.\n<\/p>\n\n Altri metodi
\n<\/h4>\n
\n Le grandi aziende hanno siti web pi\u00f9 grandi; \u00e8 un fatto. Forse migliaia di persone usano il tuo sito al giorno. Magari al posto di form e campi standard ci sono anche animazioni, vari portali, parti scritte in Java, e cos\u00ec via. Anche se tieni traccia di tutto ci\u00f2, forse c'\u00e8 un giorno zero in una delle tue domande e non hai modo di difenderti.\n<\/p>\n
\n In una situazione come questa, se hai l'influenza e il budget per farlo, ti consiglio di investire in un Web Application Firewall (WAF). Un buon WAF avr\u00e0 regole di correlazione che identificano e bloccano automaticamente le stringhe HTML che sono pi\u00f9 comunemente associate agli attacchi di code injection. Possono anche avvisarti quando le applicazioni iniziano a estrarre dati quando non dovrebbero o lo stanno facendo in un volume insolito, aiutando cos\u00ec a difenderti dagli attacchi zero-day e da altre minacce avanzate. Un WAF non \u00e8 un proiettile d'argento, ma \u00e8 uno strumento prezioso per i professionisti della sicurezza e i proprietari di siti Web che sperano di proteggere applicazioni complesse.\n<\/p>\n
\n Esistono anche numerosi plug-in che pretendono di difendersi dagli attacchi XSS. In realt\u00e0 non li consiglio. Piuttosto che ridurre il rischio, molti di questi plug-in rappresentano solo un'altra superficie di attacco che un hacker pu\u00f2 sfruttare. Anche uno dei plugin di sicurezza pi\u00f9 noti e ampiamente utilizzati, Akismet, \u00e8 risultato essere vulnerabile agli attacchi XSS<\/a> lo scorso anno. Quando si tratta di deviare gli attacchi XSS, non fare affidamento sulle mezze misure. Sviluppa le competenze necessarie e utilizza il set di strumenti appropriato per proteggere il tuo sito web.\n<\/p>\n\n Altre applicazioni pratiche
\n<\/h4>\n
\n Queste informazioni possono essere un po' complesse per chi non lo sapesse, ma non vorrei che le persone si lasciassero scoraggiare dalle potenziali complessit\u00e0 di queste informazioni. Se si verifica un attacco XSS, puoi essere certo che ripulire le conseguenze di un tale evento sar\u00e0 molto pi\u00f9 complesso che apportare modifiche al tuo sito web. Ripulire i costi reputazionali del tuo sito Web (i lettori abituali abbandoneranno il tuo sito Web abbastanza facilmente) sar\u00e0 un problema aggiuntivo di cui non devi preoccuparti.\n<\/p>\n
\n Anche se stai chiedendo a qualcun altro di gestire lo sviluppo e la sicurezza del tuo sito Web per te, fai il possibile per essere almeno in grado di rispondere a un'emergenza e sapere dove sono i tuoi punti deboli. Sapere come controllare il tuo sistema sar\u00e0 un'abilit\u00e0 vitale a lungo termine e sar\u00e0 la base per altri argomenti di sicurezza e progetti di sviluppo di siti web. Tutto \u00e8 interconnesso online e mentre gli attacchi XSS potrebbero essere una cosa degli ultimi anni (per quanto improbabile sia), sapere che i dettagli del tuo sito Web non saranno mai obsoleti.\n<\/p>\n
\n Pensieri finali
\n<\/h4>\n
\n Il panorama della sicurezza in Internet cambia costantemente. Non puoi mai essere del tutto certo di come potrebbe apparire un attacco XSS o di come potrebbe essere utilizzato contro di te, ma lo devi a te stesso e ai tuoi lettori per assicurarti di fare tutto ci\u00f2 che \u00e8 in tuo potere per fermarli. Continua a informarti su questa minaccia e controlla regolarmente (raccomanderei almeno una volta al mese) eventuali sviluppi rilevanti nel mondo della sicurezza informatica.\n<\/p>\n
\n Anche questo non significa che puoi ignorare altre minacce. L'accesso alla rete pubblica richiede ancora l'uso della VPN per essere sicuro. Non puoi trascurare la sicurezza di qualsiasi computer che utilizzi per accedere al tuo sito web. Le informazioni di accesso devono ancora essere modificate spesso ed essere al sicuro da attacchi di forza bruta. Gli attacchi XSS sono brutali, ma non sono l'unica minaccia a cui prestare attenzione.\n<\/p>\n
\n Potrebbe anche essere necessario che tu condivida queste informazioni (o anche questo articolo) con i tuoi colleghi e le parti interessate al fine di diffondere la resistenza contro questo tipo di attacchi. Anche se potresti non essere in grado di fare molto da solo, se un numero sufficiente di persone si protegge adeguatamente, potremmo assistere a una diminuzione generale di questi tipi di attacchi mentre gli hacker cercano di trovare un modo diverso di trarre profitto dagli utenti poveri di Internet.\n<\/p>\n
\n Hai qualche idea su come verificare la presenza di attacchi XSS e difenderti da essi in futuro? Esistono altre strategie di rilevamento e rimozione che utilizzi per combattere questa minaccia? Ci sono strumenti che consiglieresti ai tuoi colleghi lettori? In tal caso, lascia un commento qui sotto e continua questa importante conversazione con i tuoi colleghi lettori.\n<\/p>\n<\/p>\n