XSS scripting e pgp.mit.edu

Cos'è un attacco XSS (Cross-Site)?

Il cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input nei form. Un XSS permette a un cracker di inserire o eseguire codice lato client al fine di attuare un insieme variegato di attacchi quali, ad esempio, raccolta, manipolazione e reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server, alterazione del comportamento dinamico delle pagine web, ecc.

source Wikipedia

 

Se utilizzate Thunderbird e plugin come Enigmail avete la possibilità di importare tutte le chiavi PGP relative agli indirizzi e-mail presenti nella vostra rubrica.

Prima di tutto avete bisogno di specificare un server di chiavi, come pgp.mit.edu, poi la plugin, per ogni singolo indirizzo e-mail, cercherà una corrispondente chiave PGP e vi chiederà se volete importare i risultati.

Ma, a volte, le chiavi non sono come ve le aspettate.

A volte i risultati contengono dati non validi, e per essere più precisi, possono contenere codice malevolo.

Se effettuate la richiesta nel form di ricerca, l'output HTML che ne risulta può contenere questi codici ed eseguire funzioni javascript , redirect, attacchi XSS, ecc.

In conclusione

Fate attenzione, ed evitate l'import massivo di chiavi PGP.


Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

it_ITItaliano
en_USEnglish it_ITItaliano
%d blogger hanno fatto clic su Mi Piace per questo: