Bloquear o XSS e corrigir vulnerabilidades

0

O Cross Site Scripting ou XSS é um tipo de ataque cibernético através do qual se buscam vulnerabilidades em uma aplicação web procurando introduzir um script malicioso e atacar o seu próprio sistema, baseado em um contexto de usuário confiável. Scripts são arquivos de comando ou programas escritos em linguagens de programação como javascript- rodando no navegador da web. Na sua versão pop mais inócua se executam janelas emergentes e no pior dos casos, elas são usadas por hackers para acessar informações sensíveis ao computador do usuário.
Sempre que um aplicativo da Web transfere os dados do usuário não validados para o navegador, haverá risco de um ataque de Cross Site Scripting ou XSS, uma vez que este é o caminho pelo qual os arquivos nocivos vão parar ao cliente ou browser. Uma vez aqui, aplicações infectadas manipulam página próprias com scripts como formulários de inscrição e, enquanto o usuário indica que esta é uma página protegida, na verdade, os dados estão sendo transferidos para outro local sem qualquer filtro.
Mas nem todos os ataques XSS visam roubar informações privadas ou criar danos ao cliente afetado. Há roteiros generalizados que manipulam o cliente a fazer iniciador tático phishing e ataques de malware, ou alterar o conteúdo de uma página que lhe causa prejuízo. A causa do ataque permanecem a maioria do tempo em anonimato.
code-944499_960_720

Exemplos de ataques XSS
Para esclarecer o que isso pode significar em particular a Cross Site Scripting para um administrador web ou um usuário, aqui está uma lista de diferentes tipos de XSS.
XXS Indirecta ou refletida
Quando abrimos um URL manipulado ou preenchemos um formulário de script prejudicial adulterada ao servidor web, que é devolvido ao cliente sem que está seja verificado é enviado. O código malicioso não é armazenado no servidor, mas de forma temporaria quando o cliente abre o site. Sites dinâmicos e aplicações de correio são especialmente vulneráveis a este tipo de ataque.
Exemplo: O atacante hospeda o script em um link de preparado, geralmente por e-mail. O código malicioso é liberada quando o usuário que abre o link, e que aparece uma tela de registro no seu browser, que reproduz, por exemplo, a página do seu banco on-line. Quando o usuário insere dados de registro, o script é responsável por encaminhá-los para o endereço que o atacante tenha estabelecido previamente.
XSS direta ou persistente
Neste caso, os arquivos maliciosos são armazenados no servidor web e são lançados a cada vez que uma página é acessada a partir de um browser. Para o efeito, essas aplicações web que armazenam dados do usuário em seu próprio servidor são transferidos sem controle ou são escolhidos métodos de codificação. Blogs e fóruns são especialmente vulneráveis a tais ataques.
Exemplo: As intervenções de usuários em um fórum são salvas em um banco de dados, geralmente sem controle suficiente. Atacantes aproveitar essa oportunidade e adicionam o script prejudicial em um posto aparentemente normal. Um usuário desavisado recebe o link para a mensagem por e-mail e no momento em que se abre o script é ativado.

face-1317571_960_720
XSS baseado em DOM
Também chamado de XSS local neste caso, o dano é causado por scripts que estão no lado do cliente. Ao abrir uma página infectada, o código malicioso pode tirar proveito de uma falha de segurança em um arquivo para ser instalado no navegador Web e executado lá sem qualquer comprovação. Ao contrário do que acontece nas duas variantes anteriores, neste caso, o servidor web não está envolvido, de modo que este ataque também afeta páginas estáticas que implementam este tipo de linguagem de programação.
Exemplo: Com o XSS refletido, DOM com base em Cross Site Scripting exige que o usuário abra o link. Quando isso acontece, um script do site selecione a variável URL e executa o código que ele contém. Assim, você pode usurpar cookies de sessão, por exemplo.

Como proteger a ataques XSS?
Os danos que podem causar um ataque de Cross Site Scripting não devem ser subestimados, tanto para usuários quanto para administradores do site. Sem saber, um usuário pode arriscar seus dados privados e agir como cúmplice dos atacantes. Administradores da Web devem levar em conta que são responsáveis por usuários de dados e / ou clientes. Se um site é uma vítima de tais ataques, conteúdo malicioso e falhas do servidor causam perda de visitas de usuários. Eventualmente, os pesquisadores reagem com sanções e e desconfiaça a Internet, em última instância, isso significa perdas econômicas. Por todos estes gestores, os usuários devem usar todos os meios para impedir ataques XSS.

Deixe uma resposta