Nell'articolo precedente abbiamo appreso degli errori XSS (Cross Site Scripting) e dell'effettivo sfruttamento di XSS Reflected. Esiste un altro tipo di XSS considerato più pericoloso: XSS memorizzato.
A differenza di Reflected, che attacca direttamente alcune vittime prese di mira dagli hacker, Stored XSS prende di mira più vittime. Questo errore si verifica quando l'applicazione web non controlla accuratamente i dati di input prima di salvarli nel database (qui utilizzo questo concetto per riferirmi al database, al file o ad altre aree che memorizzano i dati dell'applicazione web).
Con la tecnica Stored XSS gli hacker non lo sfruttano direttamente ma devono farlo in almeno 2 passaggi.
In primo luogo, gli hacker utilizzano punti di input non filtrati (modulo, input, area di testo...) per inserire codice pericoloso nel database.
Successivamente, quando l'utente accede all'applicazione web ed esegue operazioni relative a questi dati salvati, il codice dell'hacker verrà eseguito sul browser dell'utente.
A questo punto l’hacker sembra aver raggiunto il suo obiettivo. Per questo motivo la tecnica Stored XSS è detta anche XSS del secondo ordine.
Lo scenario di sfruttamento è descritto come segue:
L'XSS riflesso e l'XSS memorizzato presentano due differenze principali nel processo di attacco.
Da queste cose si evince che Stored XSS è molto più pericoloso di Reflected XSS, i soggetti colpiti possono essere tutti gli utenti di quella applicazione web. E se la vittima ha un ruolo amministrativo, c’è anche il rischio di web hijacking.
Il termine “Wireless Body Area Network” è stato coniato nel 2001 da Van Dam. Fondamentalmente si tratta di una rete di nodi sensoriali attaccati al corpo umano, utilizzati per misurare i segnali biologici (frequenza cardiaca, pressione sanguigna, segnali cerebrali, ecc.) degli esseri umani.
PowerShell è un potente framework di automazione e gestione della configurazione che consente agli amministratori di sistema di lavorare in modo più efficiente automatizzando attività noiose e ripetitive. Di seguito sono riportati alcuni comandi di base di PowerShell per aiutarti a sfruttare appieno la potenza di questo strumento.
Questa guida ti mostrerà come modificare il carattere dell'Editor del Registro di sistema solo per il tuo account o per tutti gli utenti in Windows 10.
Tutte le modifiche al registro di Windows possono essere apportate tramite l'editor del registro, uno strumento incluso in tutte le versioni di Windows. Questo articolo ti guiderà come aprire l'editor del Registro di sistema.
Accedi alle impostazioni del firmware UEFI per modificare l'ordine di avvio predefinito o impostare una password UEFI. Puoi aprire le impostazioni UEFI da Impostazioni su Windows 10, dal pulsante Start o dalla finestra del prompt dei comandi.
Per dividere il volume dei dati archiviati in parti separate, puoi partizionare l'unità e ciascuna partizione apparirà come un'unità separata. Questa partizione è estremamente utile se esegui più sistemi operativi.
LuckyTemplates ti guiderà ad attivare la combinazione di tasti Ctrl + C e Ctrl + V per copiare e incollare i comandi nella finestra del prompt dei comandi.
In questo articolo, LuckyTemplates ti invita ad apprendere la tecnica di hacking Session Hijacking.
Ti invitiamo a unirti a LuckyTemplates per conoscere i problemi di sicurezza nel protocollo HTTP.
Il pacchetto di 17 sfondi predefiniti della serie Huawei Mate 40 può essere scaricato gratuitamente.
