0 - R$0,00

Nenhum produto no carrinho.

Tudo sobre XSS: o que é, para que serve e como opera

Adriano Martins Antonio

Adriano Martins Antonio

em 6 de maio de 2020

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Tudo sobre XSS: o que é, para que serve e como opera. Além disso, veja alguns exemplos!

O XSS é um tipo de vulnerabilidade que pode ser encontrada em aplicações web, que permite inserir códigos no lado do cliente, ou seja, altera a página no computador do usuário.

Esse ataque pode ser subdividido em três categorias:

  • Refletido;
  • Armazenado;
  • E baseado em DOM.

Para que serve

Bem, o XSS é uma vulnerabilidade que pode causar desde um simples alerta na tela, até um sequestro de sessão ou redirecionamento para sites maliciosos, a fim de prejudicar quem estiver navegando.

Como funciona e seus exemplos

  • XSS Reflected:

O ataque refletido é quando o servidor da página web reflete aquilo que enviamos, sem filtrar o conteúdo que a pessoa digitou. Dessa forma, suponha que um usuário comum acesse uma página e digite seu usuário e senha:

  1. O usuário acessa o site http://exemplo.com.br;
  2. A página solicita que “usuário e senha”;
  3. O usuário digita um user não existente, chamado “João”;
  4. A página exibirá na tela a mensagem: “O usuário João não está cadastrado em nossa base”.

Mas, se um usuário mal intencionado acessar a página, ele tentará verificar a vulnerabilidade digitando um script:

  1. O usuário invasor acessa o site http://exemplo.com.br;
  2. A página solicita que entre com “usuário e senha”;
  3. O usuário digita um user não existente, chamado ” “;
  4. A página exibirá a mensagem de usuário não existente e uma caixa de mensagem gerada pelo script.

xss

  • XSS Stored:

É quando o código que será injetado não foi filtrado e está armazenado. Assim, quando alguma página WEB for exibir o conteúdo armazenado, o XSS será disparado.

Assim sendo, se um usuário malicioso deseja verificar a vulnerabilidade da página, o procedimento será:

  1. Acessar algum site, http://exemplo.com.br;
  2. O site solicita que entre com o “usuário e senha” para fazer o cadastro;
  3. O usuário preenche no nome a informação: , e no campo senha coloca: teste;
  4. Após o cadastro, será exibida a mensagem “seja bem-vindo” e uma caixa de alerta com o script digitado.

xss

Leia também: Carreiras e Certificações de Segurança da Informação.

  • XSS DOM Based:

Já este de tipo de ataque é dependente das vulnerabilidades em algum componente da página, isto é, onde o script possa alterar o HTML, usando manipulação DOM (Document Object Model).

Portanto, as consequências destes ataques podem implicar em roubo de informações confidenciais que estejam em um cookie. Dessa forma, o invasor pode realizar ataques de phishing, dentre diversas outras ações que podem causa danos na segurança do usuário.

Então, ações como: filtrar o dado que o usuário está digitando e verificar os caracteres ‘’ ; ‘-‘ ao imprimir o dado, ajudam a combater este tipo de ataque.

Entenda também sobre CSFR no artigo que fizemos clicando aqui.

Quer aprender mais sobre XSS e outros termos de Segurança da Informação? Veja nossos cursos gratuitos:

Enfim, você gostou do nosso artigo? Aliás, temos outros conteúdos legais como este.

Aproveite para deixar a sua opinião conforme o seu desejo.

E se acaso, tenha ficado alguma questão, não esqueça de dar o seu ponto de vista.

Logo após, nós, da PMG Academy, vamos te responder o mais breve. Até mais!

Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

MOF 4.0 Foundation
Gratuito!

Com direito ao certificado de conclusão!

Aproveite que é por tempo indeterminado. Acesso por 1 ano!

Edit
Forgotten your password? Click here to reset it.
Edit