💉
Modulo

XSS & SQL Injection: i due classici che non passano mai di moda

Sono le vulnerabilità più vecchie e più note del web — eppure restano, anno dopo anno, tra le cause principali dei furti di dati. Perché basta un form dimenticato, un parametro non controllato, un plugin aggiornato male. HeleoX li cerca su ogni pagina, a ogni scan, senza mai sfruttarli: individua la porta debole, non la sfonda.

Quali vulnerabilità trova

  • Campi e form che non controllano cosa ricevono — il punto d'ingresso classico per iniettare script o comandi.
  • Parametri delle pagine manipolabili — indirizzi che, modificati ad arte, fanno dire alla pagina cose che non dovrebbe.
  • Punti dove l'input dell'utente finisce dritto nel database — la premessa di ogni SQL injection.

Tutto in modalità detection, non exploitation: prove innocue che rivelano la debolezza senza toccare i tuoi dati né il tuo database. È una scelta di design, non un limite.

Quali attacchi previene

  • Furto dei dati dei clienti — la SQL injection è il modo più diretto per portarsi via un database: anagrafiche, ordini, credenziali.
  • Sessioni rubate — uno script iniettato (XSS) agisce nel browser dei tuoi utenti come se fosse loro: può leggere ciò che vedono e agire a nome loro.
  • Defacement e frodi sul tuo sito — contenuti alterati, form di pagamento clonati, redirect verso truffe.
  • Manipolazione o distruzione dei dati — non solo lettura: un'injection può modificare e cancellare.

Quanto ti fa risparmiare

Quando un'injection va a segno il conto è quello di un data breach completo: analisi forense, ripristino, notifica al Garante entro 72 ore, comunicazione ai clienti coinvolti, possibili sanzioni GDPR e — la voce più cara — i clienti che non tornano. Il costo medio globale supera i 4,8 milioni di dollari (IBM 2024); in Italia gli attacchi andati a segno crescono a doppia cifra ogni anno (Rapporti Clusit). Trovare il form vulnerabile una settimana prima dell'attaccante costa, in confronto, letteralmente zero.

Il rischio cambia a ogni deploy. Un sito sicuro oggi può non esserlo dopo il prossimo aggiornamento, il prossimo plugin, la prossima pagina. Per questo il controllo è settimanale e confrontato con lo scan precedente: se qualcosa peggiora, lo sai subito.

Fonte dei dati citati: IBM Cost of a Data Breach Report, Rapporti Clusit.