E così, dopo aver analizzato il funzionamento “completo” di un sito web, abbiamo scoperto quanto sia vulnerabile, e da quanti punti lo sia. Abbiamo parlato di code injection, e visto le origini di questo tipo di debolezza, magari anche scoperto che alcuni nostri siti sono vulnerabili. Dato che il compito di questi articoli non è solo valutare
le debolezze, ma anche irrobustire le difese – come trovare ed eliminare le vulnerabilità
dai nostri siti?

“Tutto è nelle mani del nemico. Non fidarti di nessuno” Fox Mulder sarebbe stato un eccellente programmatore!

Di sicuro, una notizia di cattivo auspicio. La buona notizia è che possiamo evitare
per intero il code injection controllando accuratamente il codice, e praticando tecniche
di programmazione note come validazione, escaping e indirezione.

Nel resto dell’articolo, per mantenere quanto possibile la semplicità farò riferimento esclusivamente a tecnologie basate su JavaScript e PHP, ma i concetti sono assolutamente estensibili anche a ASP e VBScript, JSP, Java, Ruby o qualunque altro linguaggio usato a livello di browser ed a livello di server.