O mundo digital abriu portas à existência de várias ameaças. Nesta área, é raro o dia que não se ouça falar em ataques informáticos direcionados a pessoas, empresas e a serviços.
Os ataques visam explorar vulnerabilidades, e uma das mais conhecidas é o Cross Site Scripting (XSS). Saiba o que é.
Ataques Cross-Site Scripting (XSS) consistem em injetar código (ou scripts maliciosos) em sites. Os ataques XSS ocorrem quando um atacante consegue enviar código malicioso, geralmente na forma de um script, do lado do navegador, para um sistema remoto.
Através de um XSS, o atacante injeta, por exemplo, código JavaScript num campo de texto de uma página já existente e este JavaScript é apresentado para outros utilizadores, porque persiste na página.
Tipos de Cross Site Scripting (XSS)
Os ataques XSS podem ser classificados em três categorias:
- Persistente: O script injetado pelo atacante fica alojado de forma permanente no servidor de destino. Isto significa que qualquer utilizador pode executar o código malicioso sem nenhuma ação específica. Esse é um tipo de XSS bastante perigoso de ataque, pois o código pode estar alojado, num simples campo de comentário, numa base de dados, etc.
- Não persistente/Refletido: Neste caso, o script não estará alojado num servidor de destino e por isso é necessário fazê-lo chegar à vítima. Tal pode acontecer, por exemplo, através de engenharia social. Uma forma frequente será através de link distribuído por meio de esquemas de phishing via e-mail. Ao clicar no script, o código malicioso é executado no navegador. Esta técnica é a mais frequente.
- Baseado em DOM: O terceiro tipo de ataque XSS explora o Document Object Model (DOM), que é a interface que define a leitura de HTML e XML no navegador. O script é capaz de alterar as propriedades das aplicações que executam estes tipos de extensões diretamente no navegador, sem a necessidade de interação com o servidor para efetivar ataque. Neste caso, a falha está na validação do código HTML ou XML no navegador.
A possibilidade de serem realizados ataques usando vulnerabilidades XSS ocorrem porque normalmente as validações de dados (por exemplo, em formulários) é mal feita.
Existe um guia de prevenção XSS disponível gratuitamente no site da OWASP que pode ser obtido aqui. Quem se quiser divertir e aprender ao mesmo tempo, pode jogar este jogo da Google.