Il lato oscuro delle protezioni anti-XSS

Sommario workshop

Gli attacchi di tipo Cross Site Scripting (XSS) rappresentano una delle principali criticità a cui sono esposte quotidianamente le applicazioni web. Le soluzioni adottate dai maggiori browser per mitigare le injection di codice client-side interagiscono attivamente con le richieste web per fornire una protezione parziale agli utenti. In questo
talk viene illustrato il funzionamento dell'XSSAuditor utilizzato da Google Chrome e dimostrato come tale componente possa essere utilizzato per introdurre nuove vulnerabilità in pagine web originariamente sicure.
In una breve demo, l'attacco viene condotto su alcune applicazioni reali per comprovarne l'efficacia. L'intervento si conclude presentando alcune tecniche per prevenire questa nuova classe di vulnerabilità.