Forare un sito con una sola linea di codice

Lo ha fatto un noto esperto di sicurezza, secondo cui la stessa tecnica è applicabile anche a Hotmail e Passport
Lo ha fatto un noto esperto di sicurezza, secondo cui la stessa tecnica è applicabile anche a Hotmail e Passport


Seattle (USA) – Basterebbe una sola linea di codice per oltrepassare le difese di Hotmail e Passport – rispettivamente i servizi di Web-mail e autenticazione offerti da Microsoft ai propri utenti – e permettere ad un cracker di accedere a dati sensibili e numeri di carte di credito.

È la seconda volta in un mese che l’esperto di sicurezza Jeremiah Grossman, che ha lanciato questo nuovo allarme, ha avvertito Microsoft del problema consentendole di correggere prontamente la falla.

La tecnica usata per superare le barriere dei serveroni Microsoft porta il nome di Cross Site Scripting (CSS) ed è conosciuta dagli esperti di sicurezza fin dal 1997. Oggi, come ha spiegato Grossman, si stanno però diffondendo nuove tecniche di questo tipo che sfruttano la capacità dei siti Internet e della applicazioni Web di contenere script che puntano ad altre risorse sul Web e che potrebbero consentire l’esecuzione di codice dannoso.

Grossman afferma che queste nuove tecniche dovrebbero mettere in serio allarme tutti i siti di e-commerce.

“Purtroppo – ha affermato Grossman – più il Web cresce in complessità ed interattività, più diviene vulnerabile ad attacchi d’ogni tipo.” Ha poi avvertito gli sviluppatori ed i responsabili di sicurezza di “aggiornare quanto prima i propri filtri HTML in tutte le applicazioni basate sul Web, incluse Web-mail, aste on-line, chat HTML e guest book”.

Secondo altri esperti, i problemi legati alle tecniche CSS sono seri, ma non meritano allarmismi: “Non credo – ha affermato l’esperto di sicurezza David Litchfield – che saranno molti gli utenti affetti da questi problemi in futuro”.

Link copiato negli appunti

Ti potrebbe interessare

02 09 2001
Link copiato negli appunti