Tudo Sobre XSS

Adriano Martins Antonio

Adriano Martins Antonio

em 6 de maio de 2020

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Tudo Sobre XSS

O Que é XSS?

O XSS é um tipo de vulnerabilidade que pode ser encontrada em aplicações web, que permite inserir códigos no lado do cliente, ou seja, altera a página no computador do usuário.

Esse ataque pode ser subdividido em três categorias:

  • Refletido;
  • Armazenado;
  • E baseado em DOM.

Para Que Serve

Bem, o XSS é uma vulnerabilidade que pode causar desde um simples alerta na tela, até um sequestro de sessão ou redirecionamento para sites maliciosos.

Como Funciona e Exemplos

  • XSS Reflected:

O ataque refletido é quando o servidor da página web reflete aquilo que enviamos, sem filtrar o conteúdo que o usuário digitou. Dessa forma, suponha que um usuário comum acesse uma página e digite seu usuário e senha:

  1. O usuário acessa site http://exemplo.com.br
  2. A página solicita que “usuário e senha”
  3. O usuário digita um user não existente, chamado “João”
  4. A página exibirá na tela a mensagem: “O usuário João não está cadastrado em nossa base”

Mas se um usuário mal intencionado acessar a página, ele tentará verificar a vulnerabilidade digitando um script:

  1. O usuário invasor acessa site http://exemplo.com.br
  2. A página solicita que entre com “usuário e senha”
  3. O usuário digita um user não existente, chamado “”
  4. A página exibirá a mensagem de usuário não existente e uma caixa de mensagem gerada pelo script.

xss

  • XSS Stored:

É quando o código que será injetado não foi filtrado e está armazenado, assim, quando alguma página WEB for exibir o conteúdo armazenado, o XSS será disparado.

Assim, se um usuário malicioso deseja verificar a vulnerabilidade da página, o procedimento será:

  1. Acessar algum site, http://exemplo.com.br
  2. O site solicita que entre com o “usuário e senha” para fazer o cadastro
  3. O usuário preenche no nome a informação: , e no campo senha coloca: teste.
  4. Após o cadastro, será exibida a mensagem “seja bem-vindo” e uma caixa de alerta com o script digitado.

xss

  • XSS DOM Based:

Já este de tipo de ataque é dependente das vulnerabilidades em algum componente da página, isto é, onde o script possa alterar o HTML, usando manipulação DOM (Document Object Model).

As consequências destes ataques podem implicar em roubo de informações confidenciais que estejam em um cookie. Dessa forma, o invasor pode realizar ataques de phishing, dentre diversas outras ações que podem causa danos na segurança do usuário.

Então, ações como: filtrar o dado que o usuário está digitando e verificar os caracteres ‘’ ; ‘-‘ ao imprimir o dado, ajudam a combater este tipo de ataque.

Entenda também sobre CSFR no artigo: https://www.pmgacademy.com/o-que-e-csfr/

Quer aprender mais sobre XSS e outros termos de Segurança da Informação? Veja nossos cursos gratuitos:

Leia também: Carreiras e Certificações de Segurança da Informação.

Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

Manifesto ágil
Artigos
Henrique Mata

O Manifesto Ágil!

O Manifesto Ágil! Lembra que falamos sobre o movimento da agilidade no post anterior? Então,

Leia Mais »

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

×

Olá Visitante! 😊 Você têm: Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
para aproveitar o desconto de 15% (apenas nos cursos) Resgatar Agora!

@

Não ativo recentemente
X
X
X