La Script source code disclosure è una tecnica hacker che gli aggressori utilizzano per sferrare attacchi contro il codice sorgente di comunicazione per cercare di ottenere il codice sorgente di altre applicazioni presenti sul medesimo server. Il ruolo fondamentale dei server, come dice la parola stessa, è quello di servire i file come richiesto dai clienti. I file possono essere statiche, come ad esempio immagini e file HTML, o dinamici, come i file PHP, ASP oppure JSP. Quando il browser richiede un file dinamico, il server prima esegue il file richiesto e poi restituisce il risultato al browser. Quindi, i file dinamici sono in realtà codici eseguiti sul server. Utilizzando un attacco di divulgazione del codice sorgente, un utente malintenzionato può ottenere il codice sorgente del server, come ASP, PHP e JSP. Ottenere il codice sorgente del server garantisce all’attaccante una più profonda conoscenza della logica che sta dietro l’applicazione Web, come l’applicazione gestisce le richieste e in generale i relativi parametri, la struttura del database, le vulnerabilità nel codice sorgente e commenti del codice. Avere il codice sorgente non è una cosa inutile, anzi, ciò aiuta l’attaccante a preparare in modo più preciso un attacco contro l’applicazione.
Un utente malintenzionato può causare la divulgazione del codice sorgente utilizzando una delle tecniche elencate qui di seguito:
⦁ utilizzando vulnerabilità come divulgazione di origine
⦁ sfruttando una vulnerabilità nella domanda che potrebbe consentire l’intercettazione di fonte
⦁ sfruttando gli errori dettagliati che possono a volte includere il codice sorgente
⦁ utilizzano altri tipi di vulnerabilità note, che può essere utile per la divulgazione di origine (come Directory Traversal), di cui vi ho già parlato in un articolo precedente.