Cross Site Scripting (XSS) – Saiba o que é e que tipos existem

22 Nov 2021 · Networking 1 Comentário

O mundo digital abriu portas à existência de várias ameaças. Nesta área, é raro o dia que não se ouça falar em ataques informáticos direcionados a pessoas, empresas e a serviços.

Os ataques visam explorar vulnerabilidades, e uma das mais conhecidas é o Cross Site Scripting (XSS). Saiba o que é.

Ataques Cross-Site Scripting (XSS) consistem em injetar código (ou scripts maliciosos) em sites. Os ataques XSS ocorrem quando um atacante consegue enviar código malicioso, geralmente na forma de um script, do lado do navegador, para um sistema remoto.

Através de um XSS, o atacante injeta, por exemplo, código JavaScript num campo de texto de uma página já existente e este JavaScript é apresentado para outros utilizadores, porque persiste na página.

Tipos de Cross Site Scripting (XSS)

Os ataques XSS podem ser classificados em três categorias:

Persistente: O script injetado pelo atacante fica alojado de forma permanente no servidor de destino. Isto significa que qualquer utilizador pode executar o código malicioso sem nenhuma ação específica. Esse é um tipo de XSS bastante perigoso de ataque, pois o código pode estar alojado, num simples campo de comentário, numa base de dados, etc.
Não persistente/Refletido: Neste caso, o script não estará alojado num servidor de destino e por isso é necessário fazê-lo chegar à vítima. Tal pode acontecer, por exemplo, através de engenharia social. Uma forma frequente será através de link distribuído por meio de esquemas de phishing via e-mail. Ao clicar no script, o código malicioso é executado no navegador. Esta técnica é a mais frequente.
Baseado em DOM: O terceiro tipo de ataque XSS explora o Document Object Model (DOM), que é a interface que define a leitura de HTML e XML no navegador. O script é capaz de alterar as propriedades das aplicações que executam estes tipos de extensões diretamente no navegador, sem a necessidade de interação com o servidor para efetivar ataque. Neste caso, a falha está na validação do código HTML ou XML no navegador.

A possibilidade de serem realizados ataques usando vulnerabilidades XSS ocorrem porque normalmente as validações de dados (por exemplo, em formulários) é mal feita.

Existe um guia de prevenção XSS disponível gratuitamente no site da OWASP que pode ser obtido aqui. Quem se quiser divertir e aprender ao mesmo tempo, pode jogar este jogo da Google.

Este artigo tem mais de um ano

Comentários1

Jorge says:

23 de Novembro de 2021 às 09:57

Muito interessante .. o “jogo” da Google é simples e bem exemplificativo.
Bom artigo.

Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.