Diventa Autore per CoreTech | Scopri di più
01/03/22 CoreTech Blog
Una domanda comune nei gruppi di studio relativi alla certificazione è come spiegare al meglio la differenza tra lo scripting tra siti e la falsificazione delle richieste tra siti.
La confusione che circonda questi due termini non arriva del tutto inaspettata, e per tre ragioni:
Fortunatamente, nomi simili non si traducono in caratteristiche ugualmente simili e le spiegazioni di cui sopra avrebbero dovuto chiarire che stiamo guardando due classi di vulnerabilità completamente diverse.
Per chiarire ulteriormente, un modo per comprendere le differenze tra due cose è spogliarle di ciò che hanno in comune e concentrarsi su ciò che rimane. Nel caso di scripting cross-site e di falsificazione di richieste cross-site, la rimozione di "cross-site" ci lascia con:
Vale la pena ricordare che un certo numero di materiali di studio, inclusi test pratici, cercano di classificare XSS come un attacco contro il client e CSRF come un attacco contro il server. Sebbene non sia di per sé sbagliata, questa distinzione può essere fuorviante, sia in termini di come queste vulnerabilità vengono solitamente sfruttate, sia in termini di come dovrebbero essere mitigate. Ad esempio, nel caso di XSS, è ancora necessario apportare modifiche lato server per correggere veramente la vulnerabilità.
La protezione XSS lato client, come quelle presenti in Internet Explorer e nelle versioni precedenti di Google Chrome, è risultata insufficiente e occasionalmente causa ulteriori problemi di sicurezza.
Allo stesso modo, CSRF può essere visto come un attacco contro il server.