XSS vulnerability. Chi ha rubato i miei cookies?
I servizi basati su cloud sono una risorsa in crescita per le aziende. Ottimizzano la scalabilità e riducono gli sforzi di implementazione. È stata però riscontrata una vulnerabilità Web XSS su Microsoft Azure Functions. Questo a causa di un’implementazione impropria del controllo degli accessi e della scarsa applicazione di SOP. A seguito del nostro rapporto, la vulnerabilità è stata corretta da Microsoft nel primo trimestre del 2022.
XSS vulnerability. Browser Security Concepts.
Il browser è responsabile delle misure di sicurezza lato client volte a limitare il più possibile la superficie di attacco web. Uno di questi è il sandboxing. Meccanismo volto a isolare ogni sito Web a cui si accede lato client. L’accesso a un’origine dannosa non avrà alcun effetto su altre origini connesse contemporaneamente o su dati che memorizzano, come cookie, database o altri file. Altra misura di sicurezza lato client è SOP (Same Origin Policy). È uno standard di base applicato dal browser. Impedisce alle origini di inviare informazioni direttamente da un dominio all’altro quando la richiesta HTTP è univoca. Impedisce la condivisione dei dati tra i domini.
XSS vulnerability. Richieste HTTP.
Una richiesta HTTP univoca richiede l’autorizzazione CORS corretta. Ecco alcuni esempi di richieste HTTP univoche:
- Unique content-type XML – application/xml
- Unique content-type JSON – application/JSON
- Unique HTTP method – PUT, DELETE, PATCH
Se la richiesta HTTP è univoca, il browser invierà richieste di verifica preliminare (OPTIONS) per esaminare la politica CORS e accertare se la richiesta può essere consentita.
XSS vulnerability. CORS (Cross-Origin Resource Sharing).
SOP mira a prevenire richieste HTTP univoche dirette ad altri domini e, come parte del flusso di verifica preliminare, viene inviata in anticipo una richiesta OPTIONS. La politica CORS viene trasmessa tramite un’intestazione http. Indica al browser qual è la politica per accettare richieste HTTP “univoche”. Facciamo un esempio. Una Banca che ha 2 siti Web:
- com: contiene tutti i file statici per il sito Web (HTML, CSS, JS, PNG e altro).
- api-bank.com: implementa tutte le logiche dinamiche del sito. È responsabile di tutte le azioni bancarie eseguite dal sito. Questo sito Web accetta il tipo di contenuto JSON.
Dal punto di vista del browser, il client accede a “bank.com” e quindi “bank.com” tenta di accedere a “api-bank.com” per ottenere informazioni dinamiche per il cliente specifico.
XSS vulnerability. SOP example.
Se la politica CORS su api-bank.com dovesse impedire a bank.com di comunicare con esso (passaggio 3), le richieste da bank.com verrebbero bloccate dal browser e non sarebbero inviate a api-bank.com.
Nelle prossime puntate approfondiremo l’argomento! Nelfrattempo scopri la soluzione Pentera https://www.bludis.it/p/pentera/ e contattaci per maggiori informazioni. Scrivi a sales@bludis.it o contattaci allo 0643230077
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.