XSS Cross-Site Scripting: dalla teoria all exploitation

XSS e nella OWASP Top 10 da vent anni. I framework JavaScript moderni moltiplicano i vettori di attacco.

Tipi di XSS

• Reflected - payload nell URL, riflesso nella risposta
• Stored - payload salvato nel server, piu pericoloso
• DOM-based - processato dal browser JS

Payload di test

<script>alert(1)</script>
<img src=x onerror=alert(1)>
<svg onload=alert(1)>

Bypass filtri

<ScRiPt>alert(1)</ScRiPt>  # case mixing
<script>alert`1`</script>  # backtick

Difesa

// PHP
echo htmlspecialchars($input, ENT_QUOTES, "UTF-8");

// JavaScript - usa textContent
element.textContent = userInput;  // sicuro
// NON usare innerHTML con input utente

// Header CSP
Content-Security-Policy: default-src 'self';

Conclusione

Input validation + output encoding + CSP eliminano il 99% dei vettori XSS.