XSS Cross-site scripting di tipo DOM-based
Mercoledi 29 Ottobre molti siti sono stati presi di mira da un attacco hacker di tipo XSS Cross-site scripting di tipo DOM-based.
Questi attacchi non mirano ad accedere al server ma tentano di modificare "al volo" le pagine web inserendo del codice malevolo tramite parametri aggiunti all'URL.
Quando si accede a una pagina web, il browser (Explorer, Firefox, Chrome, ecc.) costruisce il Document Object Model (DOM) ovvero il modello ad oggetti che consente la rappresentazione di documenti HTML.
Se la pagina è vulnerabile, il browser interpreta i parametri nell'URL e durante la costruzione del DOM "inietta" il codice creato dall'hacker.
Solitamente un'esecuzione automatica attacca tutte le pagine del sito e, individuata la vulnerabilità, gli URL malevoli vengono diffusi in rete o via email sotto forma di link.
Gli attacchi XSS DOM-based sono subdoli e difficili da individuare tempestivamente poichè lato server non si attivano allarmi e accedendo normalmente al sito non si riscontrano problemi di sicurezza.
Immagine 1: orario e durata dell'attacco
Immagine 2: provenienza degli accessi
Ne abbiamo preso atto dopo circa mezz'ora dall'inizio, grazie a un alert di Google Analytics attivato da un aumento considerevole del Bounce Rate (frequenza di rimabalzo); l'attacco infatti avveniva una sola volta in ogni pagina del sito.
Accorgercene in tempo reale ci ha dato l'opportunità di controllare l'evolversi della situazione e, dopo aver appurato che i siti erano immuni dalla minaccia, di apportare un'ulteriore accortezza per restituire documenti completamente vuoti all'hacker.