Attacco non persistente: Bob espone un servizio web che richiede autenticazione, e i suoi utenti registrano nel loro profilo dei dati sensibili. Alice si iscrive e diventa uno dei tanti utenti di Bob. Mallory, scopre una vulnerabilità in una pagina del sito di Bob. Visto che è un esperto di XSS, costruisce una url che sfrutta questa falla e la invia via mail ad Alice, facendosi passare per Bob (email spoofing). Alice è distratta e non si accorge che la mail non proviene dal sito di Bob, e clicca sul link in essa contenuto. Se in quel momento Alice era contemporaneamente collegata, con un’altra finestra del suo browser, al sito di Bob, Mallory può farsi inviare dallo script i dati sensibili di Alice (contenuti ad esempio in cookies non criptati).
Would you like to comment?
Join Diigo for a free account, or sign in if you are already a member.