Cross-site scripting: diferenças entre revisões
Linha 12: | Linha 12: | ||
=== Client side === |
=== Client side === |
||
Desabilite a execução de JavaScript em seu browser. |
Desabilite a execução de JavaScript em seu browser. |
||
Isto não está claro! |
|||
=== Server side === |
=== Server side === |
Revisão das 12h11min de 3 de junho de 2013
Este artigo ou se(c)ção está a ser traduzido. |
Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controlos de acesso que usam a mesma política de origem.
Ataque
Através de um XSS, o Cracker injeta códigos JavaScript em um campo texto de uma página já existente e este JavaScript é apresentado para outros usuários, porque persiste na página.
Exemplo de ataque: Imaginem que o cracker insira em um fórum de um website alvo de ataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo, simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene. Quando o texto do fórum for apresentado a outros usuários, um site atacado pelo XSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outros usuários, provocando a brecha de ataque.
Proteção
Client side
Desabilite a execução de JavaScript em seu browser.
Isto não está claro!
Server side
Remova caracteres que possam formar tags JavaScript.
Ligações externas
- «INW-Segurança - E-Book Invasão e Correção em Sites» (PDF)
- «WhiteHat Security - Vulnerabilties White Paper» (PDF)
- OWASP: XSS, Testing for XSS, Reviewing Code for XSS
- «Simple XSS explanation»
- «The Web Application Security Consortium's Cross-site Scripting Threat Classification Entry»
- «Fórum-Hacker Melhor Conteúdo Hacker»