Con la dizione “cross site scripting” si definisce una tipologia di attacco che generalmente viene portata a termine sfruttando una vulnerabilità di una web application. L’aggressore inserisce del codice arbitrario come input di una web application in modo da modificarne il comportamento. A questo punto l’aggressore può preparare un URL “ad hoc” ed inviarlo ad un ignaro utente. Quest’ultimo si sentirà sicuro poiché gli sembrerà di utilizzare i servizi messi a disposizione dal sito web vulnerabile.
In questi giorni Hotmail e Google Reader sono bersaglio di attacchi “cross site scripting”. Nel primo caso è un giovane studente olandese ad aver messo a nudo il problema che risiederebbe nella non corretta gestione di alcune variabili contenute negli URL del servizio Hotmail. “Confezionando” un URL maligno ed inserendovi un semplice codice javascript, un aggressore può essere in grado di sottrarre all’utente le sue credenziali d’accesso al servizio Hotmail, conservate all’interno di un cookie.
Dato che la vulnerabilità non è stata ancora risolta, è opportuno riporre la massima attenzione prima di cliccare su un qualunque link (ricevuto ad esempio via e-mail o tramite client di messaggistica istantanea da parte di sconosciuti) che faccia riferimento al sito msn.com.
Google, invece, dichiara di aver “tappato” una vulnerabilità nel suo Google Reader che avrebbe potuto aprire le porte ad attacchi di tipo “cross site scripting”. Le implicazioni avrebbero potuto essere molteplici: l’avvio di frodi (“phishing”), la sottrazione delle credenziali d’accesso dell’utente o di dati personali (i.e. numeri telefonici).
Da Mountain View, con una nota ufficiale, si osserva come l’azienda abbia provveduto a risolvere tempestivamente il problema e si incoraggia a segnalare nuove eventuali vulnerabilità in modo responsabile notificandole prima a Google senza rendere pubblici i dettagli tecnici.