Cos'è XSS (Cross-Site Scripting) e come prevenirlo in PHP?

Cos’è XSS (Cross-Site Scripting) e come prevenirlo in PHP?

Cross-Site Scripting (XSS) è una vulnerabilità di sicurezza comune che consente a un attaccante di iniettare script lato client malevoli in pagine web visualizzate da altri utenti. Gli script iniettati possono essere utilizzati per una vasta gamma di scopi malevoli, tra cui il furto di cookie, la registrazione di tasti, attacchi phishing e la distribuzione di malware.

La vulnerabilità XSS si verifica quando un’applicazione web riceve un input non sicuro e lo espone in una pagina web senza la corretta validazione o codifica in uscita. Quando il browser della vittima carica la pagina compromessa, esegue lo script iniettato come se fosse codice legittimo.

Tipi di XSS
1. Stored XSS (o Persistent XSS): Questo tipo di attacco si verifica quando il dato malevolo viene permanentemente memorizzato su un server, come un database, un forum, un sistema di gestione dei contenuti, ecc. Quando l’utente accede alla pagina che contiene il dato iniettato, lo script viene eseguito.

1. Reflected XSS (o Non-persistent XSS): In questo caso, il dato malevolo non è memorizzato, ma viene immediatamente restituito e riflesso nel browser. Per esempio, avviene quando un input fornito da un utente, ad esempio tramite una query string URL, viene immediatamente riflesso in una risposta HTTP senza essere adeguatamente sanificato.

1. DOM-based XSS: Questo tipo di XSS si verifica quando il lato client (JavaScript) modifica il Document Object Model (DOM) di una pagina in modo non sicuro. Gli attacchi DOM-based XSS possono avvenire senza che il server venga coinvolto.

Prevenzione di XSS in PHP
Prevenire XSS richiede una combinazione di convalida dell’input, sanificazione e corretta codifica dell’output. Ecco alcuni metodi per prevenire XSS in PHP:

1. Convalida e Sanificazione dell’Input: È importante validare e sanificare tutti gli input dell’utente. PHP offre diverse funzioni per farlo, come `filter_input()` o `htmlspecialchars()`. Per esempio: \`\`\`php $input = filter_input(INPUT_GET, ‘data’, FILTER_SANITIZE_STRING); \`\`\`

1. Codifica dell’Output: Prima di visualizzare qualunque dato fornito dall’utente, è cruciale codificarlo in modo appropriato per evitare l’esecuzione di script malevoli. Uno dei metodi più comuni in PHP è usare `htmlspecialchars()`: \`\`\`php echo htmlspecialchars($input, ENT\_QUOTES, ‘UTF-8’); \`\`\`

1. Uso di Librerie di Sicurezza: Utilizzare librerie e framework sicuri può ridurre il rischio di vulnerabilità XSS. Ad esempio, le librerie come OWASP’s AntiSamy o HTML Purifier possono aiutare a filtrare l’input HTML.

1. HTTP Headers di Sicurezza: Configurare header HTTP come `Content-Security-Policy (CSP)` può limitare le fonti di script eseguibili dal browser. Questo può prevenire o mitigare gli attacchi XSS. \`\`\`php header(“Content-Security-Policy: script-src ‘self’ https://trustedscripts.example.com”); \`\`\`

Esempi
Prendiamo un esempio di vulnerabilità XSS e la sua prevenzione:
- Vulnerabile: \`\`\`php $name = $\_GET[‘name’]; echo “Ciao, $name!”; \`\`\`
- Sicuro: \`\`\`php $name = $\_GET[‘name’]; echo “Ciao, “ . htmlspecialchars($name, ENT\_QUOTES, ‘UTF-8’) . “!”; \`\`\`

Fonti
- [OWASP Cross Site Scripting (XSS)](https://owasp.org/www-community/attacks/xss/)
- [PHP Official Documentation – htmlspecialchars()](https://www.php.net/manual/en/function.htmlspecialchars.php)
- [Content Security Policy (CSP)](https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP)

Queste misure e pratiche aiutano a rendere un’applicazione PHP più sicura contro attacchi XSS, proteggendo sia l’applicazione che i suoi utenti.