Tudo sobre XSS: o que é, para que serve e como opera. Além disso, veja alguns exemplos!
O XSS é um tipo de vulnerabilidade que pode ser encontrada em aplicações web, que permite inserir códigos no lado do cliente, ou seja, altera a página no computador do usuário.
Esse ataque pode ser subdividido em três categorias:
- Refletido;
- Armazenado;
- E baseado em DOM.
Para que serve
Bem, o XSS é uma vulnerabilidade que pode causar desde um simples alerta na tela, até um sequestro de sessão ou redirecionamento para sites maliciosos, a fim de prejudicar quem estiver navegando.
Como funciona e seus exemplos
-
XSS Reflected:
O ataque refletido é quando o servidor da página web reflete aquilo que enviamos, sem filtrar o conteúdo que a pessoa digitou. Dessa forma, suponha que um usuário comum acesse uma página e digite seu usuário e senha:
- O usuário acessa o site http://exemplo.com.br;
- A página solicita que “usuário e senha”;
- O usuário digita um user não existente, chamado “João”;
- A página exibirá na tela a mensagem: “O usuário João não está cadastrado em nossa base”.
Mas, se um usuário mal intencionado acessar a página, ele tentará verificar a vulnerabilidade digitando um script:
- O usuário invasor acessa o site http://exemplo.com.br;
- A página solicita que entre com “usuário e senha”;
- O usuário digita um user não existente, chamado ” “;
- A página exibirá a mensagem de usuário não existente e uma caixa de mensagem gerada pelo script.
-
XSS Stored:
É quando o código que será injetado não foi filtrado e está armazenado. Assim, quando alguma página WEB for exibir o conteúdo armazenado, o XSS será disparado.
Assim sendo, se um usuário malicioso deseja verificar a vulnerabilidade da página, o procedimento será:
- Acessar algum site, http://exemplo.com.br;
- O site solicita que entre com o “usuário e senha” para fazer o cadastro;
- O usuário preenche no nome a informação: , e no campo senha coloca: teste;
- Após o cadastro, será exibida a mensagem “seja bem-vindo” e uma caixa de alerta com o script digitado.
Leia também: Carreiras e Certificações de Segurança da Informação.
-
XSS DOM Based:
Já este de tipo de ataque é dependente das vulnerabilidades em algum componente da página, isto é, onde o script possa alterar o HTML, usando manipulação DOM (Document Object Model).
Portanto, as consequências destes ataques podem implicar em roubo de informações confidenciais que estejam em um cookie. Dessa forma, o invasor pode realizar ataques de phishing, dentre diversas outras ações que podem causa danos na segurança do usuário.
Então, ações como: filtrar o dado que o usuário está digitando e verificar os caracteres ‘’ ; ‘-‘ ao imprimir o dado, ajudam a combater este tipo de ataque.
Entenda também sobre CSFR no artigo que fizemos clicando aqui.
Quer aprender mais sobre XSS e outros termos de Segurança da Informação? Veja nossos cursos gratuitos:
Enfim, você gostou do nosso artigo? Aliás, temos outros conteúdos legais como este.
Aproveite para deixar a sua opinião conforme o seu desejo.
E se acaso, tenha ficado alguma questão, não esqueça de dar o seu ponto de vista.
Logo após, nós, da PMG Academy, vamos te responder o mais breve. Até mais!
Artigos Relacionados
O lado humano do ITSM
No gerenciamento de serviços de TI (ITSM), o incidente de TI – normalmente – é
Os 5 princípios do Design Thinking de serviços
Entregar valor através dos serviços, no contexto atual, é fundamental. A ITIL® 4 Drive Stakeholder
6 casos famosos de vazamento de dados
Quem é da área de tecnologia e/ou negócios, sabe que a maioria das organizações trabalha
