Notícias de dispositivos móveis, gadgets, aplicativos Android

O que √© XSS (Cross Site Scripting)? ‚Äď Uma compreens√£o detalhada do tipo de XSS

XSS é um tipo de vulnerabilidade muito comumente explorado que é muito difundido e facilmente detectável, e também é uma das vulnerabilidades importantes no OWASP TOP 10.

O script entre sites, frequentemente chamado de ‚ÄúXSS‚ÄĚ, √© uma das falhas de seguran√ßa mais comuns em servi√ßos da Web atualmente. XSS trata principalmente da execu√ß√£o de c√≥digo arbitr√°rio no navegador do usu√°rio, mas √© muito mais do que isso.

Isso quebra a confiança entre um site e seus usuários e, quando usado de maneira inadequada, pode levar a uma série de coisas ruins.

√ćndice

O que é XSS (Cross-Site Scripting)?
Compreendendo XSS ‚Äď Cross-Site Scripting
Riscos potenciais de scripts entre sites
Defesas contra scripts entre sites
Conclus√£o

O que é XSS (Cross-Site Scripting)?

O script entre sites é um tipo de falha de segurança frequentemente encontrada em aplicativos da web. Ele permite que invasores coloquem códigos maliciosos em páginas da Web que outras pessoas podem ver.

Então, esses scripts podem ser executados no navegador da vítima, o que pode levar a uma série de coisas ruins, como roubar cookies de sessão, bagunçar páginas da web ou fazer coisas em nome da vítima sem o seu conhecimento.

Falhas de XSS acontecem quando um aplicativo da web coloca dados n√£o confi√°veis ‚Äč‚Äčem suas p√°ginas sem valid√°-los ou escapar deles adequadamente. Isso permite que um invasor coloque c√≥digo que pode ser executado na p√°gina.

Como os ataques XSS podem causar muitos danos e são comuns, é importante que os programadores os conheçam e tomem medidas para detê-los.

Um o invasor pode injetar trechos n√£o confi√°veis ‚Äč‚Äčde JavaScript em seu aplicativo sem valida√ß√£o.

Este JavaScript √© ent√£o executado pela v√≠tima que est√° visitando o site alvo. √Č classificado em tr√™s tipos.

  • XSS refletido
  • XSS armazenado
  • XSS baseado em DOM

No Reflected XSS, um invasor envia à vítima um link para o aplicativo alvo por e-mail, mídia social, etc.

Este link possui um script que é executado ao visitar o site de destino.

No Stored XSS, o invasor pode plantar um script persistente no site de destino que será executado quando alguém o visitar.

Com XSS baseado em DOM, nenhuma solicitação HTTP é necessária; o script é injetado como resultado da modificação do DOM do site de destino no lado do cliente código no navegador da vítima e então é executado.

Compreendendo XSS ‚Äď Cross-Site Scripting

                               http://test.gbhackers.com/search?q=gbhackers

                                   Searched for <strong>gbhackers</strong>

                                          <script>alert(document.cookie)</script>

Imagine que temos uma URL como esta e estamos procurando por gbhackers, e refletir√° a seguinte consulta no navegador.

N√≥s recomendamos:  Amazon Respostas do question√°rio hoje, 12 de junho de 2023: Ganhe Rs 5.000

Confiamos no domínio e no recurso inserido na página de pesquisa, então agora a parte não confiável do gbhackers era a string de consulta inserida pelo navegador; o invasor pode manipular o valor como quiser, por exemplo, eles mudam assim .

Esta é apenas uma consulta simples para exibir um alerta na página caso alguém solicite a página do site do invasor e repasse o documento.

Cookies como par√Ęmetro no site, ent√£o o invasor pode reunir todos os cookies. Se eles conseguirem Cookies de autentica√ß√£o, eles podem simplesmente sequestrar sess√Ķes de usu√°rios.

Riscos potenciais de scripts entre sites

O invasor pode comprometer ou assumir o controle da conta de usuário da vítima no aplicativo.

Eles podem recuperar dados do aplicativo Web alvo, modificar o conte√ļdo da p√°gina alvo, redirecionar a v√≠tima para outro site malicioso ou falsificado ou us√°-lo para instalar outro malware no sistema da v√≠tima.

As consequ√™ncias de qualquer uma das situa√ß√Ķes acima podem afetar seriamente a sua capacidade de conduzir neg√≥cios, os seus clientes e a reputa√ß√£o da sua organiza√ß√£o.

Defesas contra scripts entre sites

Os ataques de script entre sites (XSS) podem ser interrompidos usando boas técnicas de codificação e ferramentas de segurança e estando atento. Aqui está uma lista completa de maneiras de se proteger contra XSS:

  • Em que informa√ß√Ķes confiamos?
  • Ele segue os padr√Ķes esperados?
  • Nunca reflita dados n√£o confi√°veis.
  • Aplica-se tamb√©m aos dados do nosso banco de dados.
  • Codifica√ß√£o de contexto (Java/atributo/HTML/CSS).
  • HttpOnly e sinalizadores seguros
  • Use estruturas que lidam automaticamente com XSS
  • Implementar WAF (Firewall de aplicativos da Web)

Conclus√£o

O script entre sites √© um forte exemplo de como os servi√ßos da Web s√£o complicados e de qu√£o vulner√°veis ‚Äč‚Äčeles podem ser. Ao examinarmos os diferentes tipos de amea√ßas XSS, fica claro que elas podem ser diferentes, mas seus efeitos s√£o sempre ruins.

N√≥s recomendamos:  O aplicativo Uber Eats agora oferece uma op√ß√£o para doar $2 para apoiar o seu restaurante favorito

Tornam mais difícil para as pessoas confiarem em websites, o que pode levar ao acesso não autorizado aos dados, falsificaçãoou até mesmo coisas ruins acontecendo sem a compreensão do usuário.

À medida que a tecnologia melhora, os ataques também melhoram. No entanto, com um conhecimento profundo das medidas de segurança e uma utilização cuidadosa, podemos tentar estar um passo à frente de possíveis riscos como o XSS.

Perguntas frequentes

1. O que é XSS em HTML?

O script entre sites √© um ponto fraco do HTML que permite que invasores coloquem c√≥digos incorretos em p√°ginas da web. Depois que esses scripts s√£o executados no navegador do usu√°rio, eles podem roubar informa√ß√Ķes, assumir o controle de sess√Ķes ou alterar a apar√™ncia dos sites.

Isso acontece quando um aplicativo da web coloca a entrada do usu√°rio que n√£o foi verificada em sua sa√≠da HTML, o que permite que scripts sejam executados sem a permiss√£o do usu√°rio. Valida√ß√£o de entrada, codifica√ß√£o de sa√≠da e uso de tags de seguran√ßa como Pol√≠tica de seguran√ßa de conte√ļdo s√£o todas boas maneiras de se proteger.

2. Quais são os três principais tipos de vulnerabilidades XSS?

  • XSS armazenado (XSS persistente): O script malicioso √© salvo no servidor e executado quando um usu√°rio acessa uma p√°gina ou recurso espec√≠fico.
  • XSS refletido (XSS n√£o persistente): O script malicioso √© executado imediatamente ap√≥s ser injetado, normalmente por meio de par√Ęmetros de URL.
  • XSS baseado em DOM: A vulnerabilidade existe em scripts do lado do cliente que modificam o Modelo de objeto de documento (DOM) de uma p√°gina.

3. Que tipo de XSS é armazenado?

XSS armazenado, também chamado de XSS persistente, é um tipo de vulnerabilidade de script entre sites em que o script malicioso do invasor é salvo no computador de destino.

N√≥s recomendamos:  IPTV: se voc√™ tiver uma assinatura com Sky e DAZN, receber√° a multa

Quando outras pessoas acessam a página ou recurso afetado, o script é executado em seus navegadores. Esse tipo de XSS é especialmente perigoso porque o alvo não precisa fazer nada, como clicar em um link perigoso.

Em vez disso, o ataque pode acontecer quando alguém visita um site que foi hackeado. O XSS armazenado é um grande risco de segurança porque permanece por aí e afeta mais pessoas.