Plugin Firefox per la verifica di vulnerabilità XSS e SQL Injection



Durante lo sviluppo di una web application, molto risalto va dato alla verifica della sicurezza della stessa.

Le principali vulnerabilità delle quali la nostra applicazione può soffrire sono di tipo XSS (Cross Site Scriptin) e SQL Injection.

Per chi fosse un po' a digiuno sull'argomento, cito due voci da Wikipedia:

XSS:
La Cross-site scripting (XSS) è una vulnerabilità che affligge siti web con scarso controllo di variabili derivate da input dell'utente (spesso variabili GET). La XSS permette di inserire codice a livello browser (spesso codice javascript pericoloso) al fine di modificare il codice sorgente della pagina web visitata. In questo modo un cracker può tentare di recuperare dati sensibili (sempre dati a livello browser) quali cookies.

SQL Injection:
La SQL injection è una tecnica dell'hacking mirata a colpire le applicazioni web che si appoggiano su un database di tipo SQL. Questo exploit sfrutta l'inefficienza dei controlli sui dati ricevuti in input ed inserisce codice maligno all'interno di una query SQL. Le conseguenze prodotte sono imprevedibili per il programmatore: l'Sql Injection permette al malintezionato di autenticarsi con ampi privilegi in aree protette del sito (ovviamente, anche senza essere in possesso delle credenziali d'accesso) e di visualizzare e/o alterare dati sensibili.

A riguardo, SecurityCompass ha rilasciato sotto licenza GPL3 due estensioni per firefox dedicate al test di queste vulnerabilità:
XSS-Me, per la verificà delle vulnerabilità XSS e SQL Inject-me, dedicata alle SQL Injections.

Published: December 28 2007

  • category: