Cross Site Request Forgery:
....arrivi sul mio sito mentre sei loggato come admin sul tuo.. potrei invogliarti a cliccare su un link che in realtà fa una richiesta al tuo sito di creare un nuovo superadmin, che viene creato poichè trova che la richiesta è autenticata dai tuoi cookie, per questo le richieste vanno rafforzate da un token.
tecnica di hack sul modeling della pagina:
è un po' complicato ma trovi qualcosina di semplice quì
http://sicurezza.html.it/articoli/leggi/2234/ricerca-di-vulnerabilita-nelle-componenti-lato-client-di-applicazioni-web-20/clickjacking: questo è tanto bastardo quanto semplice, sei convinto di cliccare un link e invece stai facendo ben altro, associato alla vulnerabilità di cui sopra ti potrei far cliccare su un link che ti appare corretto e invece spedirti da un'altra parte.
Insomma le insidie nel web sono moltissime e non è possibile che tutti siano scienziati per poterlo usare; per questo per chi vorrà realizzare il sitino casalingo basterà sempre il solito backuppino da tirare su... ma se uno ha bisogno della business continuity? ... immagina se questo capitasse a ebay o cmq a qualcuno che fa ecommerce o comunque attraverso il sito distribuisce servizi... la sicurezza è un'aspetto sempre sottovalutato nel web perchè ha dei costi e sembra sempre di cercare mostri inesistenti...
La sicurezza è molto importante anche per l'officina meccanica da 15 operai, se spedisci mail con preventivi e io riesco a violare silenziosamente la tua mailbox farò sempre preventivi più vantaggiosi dei tuoi e tu fallirai. Da questo punto di vista prova a dirmi che è superflua la sicurezza... in fondo vendi solo bulloni!
M.
