Tudo sobre XSS: o que é, para que serve e como opera. Além disso, veja alguns exemplos!
O XSS é um tipo de vulnerabilidade que pode ser encontrada em aplicações web, que permite inserir códigos no lado do cliente, ou seja, altera a página no computador do usuário.
Esse ataque pode ser subdividido em três categorias:
- Refletido;
- Armazenado;
- E baseado em DOM.
Para que serve
Bem, o XSS é uma vulnerabilidade que pode causar desde um simples alerta na tela, até um sequestro de sessão ou redirecionamento para sites maliciosos, a fim de prejudicar quem estiver navegando.
Como funciona e seus exemplos
-
XSS Reflected:
O ataque refletido é quando o servidor da página web reflete aquilo que enviamos, sem filtrar o conteúdo que a pessoa digitou. Dessa forma, suponha que um usuário comum acesse uma página e digite seu usuário e senha:
- O usuário acessa o site http://exemplo.com.br;
- A página solicita que “usuário e senha”;
- O usuário digita um user não existente, chamado “João”;
- A página exibirá na tela a mensagem: “O usuário João não está cadastrado em nossa base”.
Mas, se um usuário mal intencionado acessar a página, ele tentará verificar a vulnerabilidade digitando um script:
- O usuário invasor acessa o site http://exemplo.com.br;
- A página solicita que entre com “usuário e senha”;
- O usuário digita um user não existente, chamado ” “;
- A página exibirá a mensagem de usuário não existente e uma caixa de mensagem gerada pelo script.
-
XSS Stored:
É quando o código que será injetado não foi filtrado e está armazenado. Assim, quando alguma página WEB for exibir o conteúdo armazenado, o XSS será disparado.
Assim sendo, se um usuário malicioso deseja verificar a vulnerabilidade da página, o procedimento será:
- Acessar algum site, http://exemplo.com.br;
- O site solicita que entre com o “usuário e senha” para fazer o cadastro;
- O usuário preenche no nome a informação: , e no campo senha coloca: teste;
- Após o cadastro, será exibida a mensagem “seja bem-vindo” e uma caixa de alerta com o script digitado.
Leia também: Carreiras e Certificações de Segurança da Informação.
-
XSS DOM Based:
Já este de tipo de ataque é dependente das vulnerabilidades em algum componente da página, isto é, onde o script possa alterar o HTML, usando manipulação DOM (Document Object Model).
Portanto, as consequências destes ataques podem implicar em roubo de informações confidenciais que estejam em um cookie. Dessa forma, o invasor pode realizar ataques de phishing, dentre diversas outras ações que podem causa danos na segurança do usuário.
Então, ações como: filtrar o dado que o usuário está digitando e verificar os caracteres ‘’ ; ‘-‘ ao imprimir o dado, ajudam a combater este tipo de ataque.
Entenda também sobre CSFR no artigo que fizemos clicando aqui.
Quer aprender mais sobre XSS e outros termos de Segurança da Informação? Veja nossos cursos gratuitos:
Enfim, você gostou do nosso artigo? Aliás, temos outros conteúdos legais como este.
Aproveite para deixar a sua opinião conforme o seu desejo.
E se acaso, tenha ficado alguma questão, não esqueça de dar o seu ponto de vista.
Logo após, nós, da PMG Academy, vamos te responder o mais breve. Até mais!
Artigos Relacionados
Quais são as vulnerabilidades de segurança cibernética da sua empresa?
Os sistemas corporativos são constituídos por muitas partes distintas, com várias tecnologias e elementos que podem ser menos do que perfeitos. Por isso, praticamente qualquer
Quem são os atores de ameaças?
Ameaças são ações que podem resultar em riscos para um sistema. Um agente de ameaça é a fonte da ameaça no sistema. Além disso, é
Ferramentas de Engenharia Social
A Engenharia Social é uma técnica de ataque que se baseia na psicologia ao invés do conhecimento sofisticado de software ou hardware, pois busca explorar
Responses