Tudo sobre XSS: o que é, para que serve e como opera. Além disso, veja alguns exemplos!
O XSS é um tipo de vulnerabilidade que pode ser encontrada em aplicações web, que permite inserir códigos no lado do cliente, ou seja, altera a página no computador do usuário.
Esse ataque pode ser subdividido em três categorias:
- Refletido;
- Armazenado;
- E baseado em DOM.
Para que serve
Bem, o XSS é uma vulnerabilidade que pode causar desde um simples alerta na tela, até um sequestro de sessão ou redirecionamento para sites maliciosos, a fim de prejudicar quem estiver navegando.
Como funciona e seus exemplos
-
XSS Reflected:
O ataque refletido é quando o servidor da página web reflete aquilo que enviamos, sem filtrar o conteúdo que a pessoa digitou. Dessa forma, suponha que um usuário comum acesse uma página e digite seu usuário e senha:
- O usuário acessa o site http://exemplo.com.br;
- A página solicita que “usuário e senha”;
- O usuário digita um user não existente, chamado “João”;
- A página exibirá na tela a mensagem: “O usuário João não está cadastrado em nossa base”.
Mas, se um usuário mal intencionado acessar a página, ele tentará verificar a vulnerabilidade digitando um script:
- O usuário invasor acessa o site http://exemplo.com.br;
- A página solicita que entre com “usuário e senha”;
- O usuário digita um user não existente, chamado ” “;
- A página exibirá a mensagem de usuário não existente e uma caixa de mensagem gerada pelo script.
-
XSS Stored:
É quando o código que será injetado não foi filtrado e está armazenado. Assim, quando alguma página WEB for exibir o conteúdo armazenado, o XSS será disparado.
Assim sendo, se um usuário malicioso deseja verificar a vulnerabilidade da página, o procedimento será:
- Acessar algum site, http://exemplo.com.br;
- O site solicita que entre com o “usuário e senha” para fazer o cadastro;
- O usuário preenche no nome a informação: , e no campo senha coloca: teste;
- Após o cadastro, será exibida a mensagem “seja bem-vindo” e uma caixa de alerta com o script digitado.
Leia também: Carreiras e Certificações de Segurança da Informação.
-
XSS DOM Based:
Já este de tipo de ataque é dependente das vulnerabilidades em algum componente da página, isto é, onde o script possa alterar o HTML, usando manipulação DOM (Document Object Model).
Portanto, as consequências destes ataques podem implicar em roubo de informações confidenciais que estejam em um cookie. Dessa forma, o invasor pode realizar ataques de phishing, dentre diversas outras ações que podem causa danos na segurança do usuário.
Então, ações como: filtrar o dado que o usuário está digitando e verificar os caracteres ‘’ ; ‘-‘ ao imprimir o dado, ajudam a combater este tipo de ataque.
Entenda também sobre CSFR no artigo que fizemos clicando aqui.
Enfim, você gostou do nosso artigo? Aliás, temos outros conteúdos legais como este.
Aproveite para deixar a sua opinião conforme o seu desejo.
E se acaso, tenha ficado alguma questão, não esqueça de dar o seu ponto de vista.
Logo após, nós, da PMG Academy, vamos te responder o mais breve. Até mais!
Artigos Relacionados