Documentazione<Precedenti | Contenuti | Succ.>
11.4.3. Vulnerabilità Web
A causa del fatto che i siti Web moderni non sono più pagine statiche, ma generate dinamicamente per l'utente, il sito Web medio è piuttosto complesso. Le vulnerabilità del Web sfruttano questa complessità nel tentativo di attaccare la logica di generazione della pagina di back-end o la presentazione al visitatore del sito.
Questi tipi di attacchi sono estremamente comuni, poiché molte organizzazioni hanno raggiunto il punto in cui dispongono di pochissimi servizi rivolti all'esterno. Due dei più diffusi tipi di attacco alle applicazioni web31 sono SQL injection e cross-site scripting (XSS).
• SQL injection: questi attacchi sfruttano le applicazioni programmate in modo errato che non sanificano adeguatamente l'input dell'utente, portando alla capacità di estrarre informazioni dal database o addirittura alla completa acquisizione del server.
• Scripting tra siti: come con SQL injection, gli attacchi XSS derivano da un'errata disinfezione dell'input dell'utente, consentendo agli aggressori di manipolare l'utente o il sito nell'esecuzione di codice nel contesto della propria sessione del browser.
Le applicazioni web complesse, ricche e complicate sono molto comuni e rappresentano una gradita superficie di attacco per i malintenzionati. Troverai un gran numero di strumenti utili nel Analisi delle applicazioni Web categoria di menu e il kali-linux-web metapacchetto.