Ir para conteúdo
Fórum Script Brasil
  • 0

"Javascript" O Que é XSS e o que é possível fazer com ele?


Ne0xxx

Pergunta

O Que é XSS e o que é possível fazer com ele?

E aí Pessoal Meu nome é Ne0xxx, sou novo na área de Segurança da informação, parada que eu curto bastante, e atualmente estou aprendendo com Brute Logic um poco sobre XSS.

Mas que diabos é Cross Site Scripting ou XSS ?

É uma falha de segurança que pode levar o atacante a obter informações sigilosas ou até mesmo controlar um servidor como se fosse o admin (Sequestrando o Browser) Alheio por exemplo, são muitas as possibilidades. E aí? Interessante ?

 
0*pm_cikoaKjZWgMzU.png

Através de um XSS, o atacante consegue injetar codigos javascript no navegador da vitima.

Assim você pode direcionar usuários para outro site, capturar o que ele digita ou coletar os cookies que o identificam em um determinado site (podendo se passar pela vitima sem precisar de usar sua senha).

XSS está entre os mais desenfreados tipos de vulnerabilidades de aplicativos web existentes.

 
0*TcMuOHSMhZvBieIT.jpg

Tõ falando maluco, né mole não.

Basicamente existem alguns tipos de XSS mas vamos falar apenas destes aqui:

XSS Reflected (Quando é executado pela URL)
 XSS Stored (Quando é executado ao entrar na página)

XSS Reflected:

ataques XSS refletido, também conhecidos como ataques não persistentes, ocorre quando um script malicioso é refletido fora de uma aplicação web para o navegador da vítima.

O script é ativado através de um link, que envia uma solicitação para um site com uma vulnerabilidade que permite a execução de scripts maliciosos. A vulnerabilidade é tipicamente um resultado de solicitações de entrada quenão está sendo suficientemente higienizados, o que permite a manipulação de funções de um aplicativo web e a ativação de scripts maliciosos.

 
1*bIKjLKq8xx7qt62bkaGNfA.png

Para distribuir o link malicioso, um Atacante normalmente incorpora o link em comentários, Foruns, medias sócias ou através de e-mail ( pishing). O link é usado junto a algum tipo de mensagem que provoca a clicar nele o que inicia o pedido XSS para um site explorado, refletindo o ataque de volta para o usuário.

 
0*64bJXNQpQEnkMVy-.jpg

XSS Stored (Armazenado, Persistente):

O tipo mais prejudicial de XSS é o armazenado, XSS (Persistente). ataques XSS armazenados envolve um atacante injetar um script que é armazenado permanentemente sobre a aplicação de destino, (por exemplo, dentro de um banco de dados). O exemplo clássico de XSS armazenado é um script malicioso inserido por um atacante em um campo de comentário em um blog ou em um post no fórum.

Quando uma vítima navega para a página web afetada em um browser, a carga XSS será vista como parte da página web (assim como um comentário legítimo faria). Isto significa que as vítimas serão atingidas e nem saberão de onde veio o ataque.

 
0*5Gea50Zly09crMMj.jpg

 

Link para o comentário
Compartilhar em outros sites

0 respostass a esta questão

Posts Recomendados

Até agora não há respostas para essa pergunta

Participe da discussão

Você pode postar agora e se registrar depois. Se você já tem uma conta, acesse agora para postar com sua conta.

Visitante
Responder esta pergunta...

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emoticons são permitidos.

×   Seu link foi incorporado automaticamente.   Exibir como um link em vez disso

×   Seu conteúdo anterior foi restaurado.   Limpar Editor

×   Você não pode colar imagens diretamente. Carregar ou inserir imagens do URL.



  • Estatísticas dos Fóruns

    • Tópicos
      152,3k
    • Posts
      652,5k
×
×
  • Criar Novo...