- Home
- Categorie
- Impresa, Fisco e Leggi
- Consulenza Legale
- XSS reflected per fare linkbulding
-
XSS reflected per fare linkbulding
Buon giorno a tutti,
da diversi giorni mi frulla per la testa un idea, ma prima d'iniziare a fare i test avrei bisogno di un consulto legale, per quanto concerne la fattibilità della cosa, senza andare a violare nessuna legge.Quello che vorrei fare e sfruttare delle falle di alcuni siti web per fare link bulding via XSS.
Facciamo un po' di chiarezza prima che qualcuno inizia ad additarmi!
Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input nei form. Un XSS permette ad un hacker di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo è possibile sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina.
Esistono due tipi di vulnerabilità XSS:
stored, nelle quali un attaccante è in grado di modificare permanentemente il contenuto di una pagina web, ad esempio inserendo un commento opportunamente preparato ad un post in un blog.
reflected, grazie alle quali è possibile produrre un URL che, utilizzato sul sito vulnerabile, ne altererà il contenuto delle pagine in modo non permanente ed esclusivamente per le richieste HTTP che utilizzano tali URL appositamente forgiati.
Il tipo di “attacco” che voglio effettuare è proprio un XSS reflected, meno invasivo del primo, non prevede la violazione del server o comunque di nessuna pagina web del sito “vittima”/”targhet”.
Praticamente cosa succede, semplicemente linkando a dovere una pagina del sito “targhet” riesco a generare una pagina “virtuale” con contenuto a mio piacimento. Questa pagina non risiede assolutamente nel server ma viene generata solo ogni qualvolta un utente/spider segue il link da un mio sito web a quello del targhet.
Per essere ancora più chiari vi faccio un esempio.
Dato il sito www.miosito.it che linka il sito www.targhet.it nel seguente modo
www.Target.com/search.php?q= <h1>Titolo</h1><a href=”http://www.linkbulding.com” title=”link bulding”>linkbulding</a>
avremo che sono seguendo questo link, e in nessun altro modo, nel sito web “taghet” si verrà a generare una pagna con url pari a :
www.Target.com/search.php?q= <h1>Titolo</h1><a href=”http://www.linkbulding.com” title=”link bulding”>linkbulding</a>
e con il seguente contenuto
<h1>Titolo</h1><a href=”http://www.linkbulding.com” title=”link bulding”>linkbulding</a>
La mia domanda è la seguente, limitarsi a linkare un sito web, in questo modo può essere considerato una pratica illegale ???