O que é Cross-Site Scripting

Cross-Site Scripting, também chamado de XXS, é um ataque malicioso que injeta deliberadamente scripts maliciosos no navegador da web do usuário. O invasor executa um código malicioso em um aplicativo ou página da Web e assim que o usuário visita o aplicativo ou página da Web; o script malicioso é transmitido automaticamente para o navegador dos usuários.

Script entre sites

Dessa forma, o invasor assume o controle do navegador do usuário ou de sua conta em um site específico. Isso significa que esse ataque não prejudica o aplicativo da Web em si, mas afeta os usuários desse aplicativo.

Além disso, os scripts maliciosos geralmente são transmitidos como código JavaScript. No entanto, os códigos maliciosos também podem explorar os navegadores dos usuários em outros idiomas, incluindo HTML, Ajax, Flash e Java.

Resumo da Explicação

Aqui está o breve resumo da explicação de script entre sites:

  • XXS é um ataque baseado na web em páginas ou aplicativos da web vulneráveis
  • Isso prejudica os usuários do aplicativo da web, não o aplicativo em si
  • XXS transmite programas maliciosos aos usuários via JavaScript.

Como funciona o ataque Cross-Site Scripting (XXS)?

Os ataques de script entre sites ocorrem de forma que primeiro manipulam um aplicativo da web vulnerável com script malicioso e, em seguida, o aplicativo da web entrega esse JavaScript malicioso ao navegador do usuário.

Assim que o script malicioso entra no navegador do usuário, o invasor pode facilmente assumir o controle do navegador do usuário.

Finalidade do Cross-Site Scripting

Um invasor realiza ataques XXS pelos seguintes motivos:

  • Para hackear uma conta
  • Para transmitir software malicioso e vírus em sistemas usando a internet
  • Para acessar o conteúdo da área de transferência e o histórico do navegador de um usuário
  • Para executar remotamente o navegador do usuário
  • Para explorar e acessar aplicativos de intranet

Exemplos de scripts entre sites

Algumas das fontes mais vulneráveis ​​para injetar XXS são fóruns auto-hospedados e sites que permitem postagens de usuários.

Agora, estamos compartilhando um exemplo simples de Cross-Site Script abaixo:

É um código JSP, no qual você pode ver que uma solicitação HTTP é feita, e o código lê um ID de funcionário, eid, exibindo-o ao usuário.

O código neste exemplo funcionará bem apenas se o código (eid) incluir texto alfanumérico padrão.

Mas, se o mesmo código (eid) usar qualquer metacaractere ou valor do código-fonte, isso significa que o código será forçado pelo navegador da Web a ser exibido ao usuário como resposta HTTP.

Inicialmente, não parece ser uma grande vulnerabilidade porque ninguém jamais entraria em um URL malicioso. No entanto, a interrupção começa quando um invasor cria um link malicioso e induz os usuários a visitar o link oculto na URL.

Normalmente, o invasor engana os usuários por meio de engenharia social e e-mails e atrai os usuários para visitar um link malicioso.

Assim que o usuário clica no link malicioso, ele envia de volta, sem querer, o conteúdo malicioso do aplicativo da web para seu próprio sistema.

O processo de refletir de volta o conteúdo malicioso é chamado XXS refletido. Os ataques XXS causam sérias interrupções que muitas vezes levam a adulterações e roubo de dados graves.

Tipos de script entre sites

  1. XSS armazenado/persistente

O ataque XSS armazenado/persistente é a forma mais perturbadora de um ataque XSS no qual um invasor transmite um script permanente no aplicativo da web. Os usuários são vítimas de scripts maliciosos quando qualquer solicitação é feita no servidor.

  1. XXS refletido

Esse tipo de Cross-Site Scripting não envolve atacar o servidor diretamente. Ele usa e-mails para induzir os usuários a executar scripts maliciosos no navegador. O navegador acredita que é um script confiável e, portanto, todo o conteúdo malicioso reflete de volta no navegador do usuário.

  1. Ataques baseados em DOM

Os ataques baseados em DOM são menos comuns e são diferentes de uma forma que nunca interrompem o código do lado do servidor, ele depende apenas dos scripts do lado do cliente.

DOM refere-se ao modelo de objeto de documento que é uma interface de programação de aplicativo (API) para documentos HTML e XML. Os ataques baseados em DOM ocorrem apenas quando um aplicativo da Web exibe os dados do usuário em um modelo de objeto de documento.

O aplicativo da web lê os dados do usuário e os transmite para o navegador. Se os dados do usuário não estiverem seguros, um invasor pode facilmente armazenar scripts maliciosos no DOM.

Como determinar a vulnerabilidade do seu site

Você pode verificar facilmente a vulnerabilidade do seu site por meio de scanners de vulnerabilidade da Web como Nessus, Nikto, Vega, Grab, WebScarab e muito mais disponíveis.

É importante conduzir cuidadosamente uma revisão de segurança do código e descobrir todas as possíveis brechas de segurança que possam permitir que a entrada de uma solicitação HTTP faça seu acesso à saída HTML.

Tenha em mente que uma variedade de tags HTML pode ser usada para executar um JavaScript malicioso. Portanto, é importante verificar um site por meio de scanners de segurança da web.

No caso, se alguma parte do site estiver vulnerável, há chances de que todo o site seja vítima de danos.

Como prevenir ataques Cross-Site Scripting

  1. Entrada de usuário de escape

Escapar da entrada do usuário é um método para evitar ataques XXS. Nesse método, você deve garantir que os dados que seu aplicativo da Web está prestes a enviar de volta ao navegador da Web dos usuários sejam seguros.

WordPress e PHP compreendem funções que limpam automaticamente os dados que você está gerando.

  1. Validação de entrada

A validação de entrada é o processo no qual todos os dados fornecidos por um aplicativo da Web são cuidadosamente verificados e verificados antes de serem enviados de volta ao navegador dos usuários.

Os aplicativos da Web devem verificar e validar os dados antes de entrar em outros sistemas. Ele ajuda a detectar qualquer link ou programa malicioso destinado a atacar os sistemas dos usuários.

Conclusão

Ataques XXS são comuns e podem atrapalhar a privacidade dos usuários, no entanto, é fácil testar e prevenir seus aplicativos web de scripts maliciosos.

Os aplicativos da Web devem limpar constantemente suas entradas antes de enviá-las diretamente ao navegador dos usuários. Além disso, verificações regulares da Web ajudarão os aplicativos da Web a descobrir se existe alguma vulnerabilidade.

Assuma o controle de sua privacidade hoje! Desbloqueie sites, acesse plataformas de streaming e ignore o monitoramento do ISP.

Get FastestVPN
Subscrever Newsletter
Receba as postagens de tendências da semana e os últimos anúncios de FastestVPN através do nosso boletim informativo por e-mail.
ícone
0 0 votos
Artigo Avaliação
Subscrever
Receber por
convidado
0 Comentários
Comentários em linha
Ver todos os comentários

Obtenha o negócio da sua vida por $ 40!

  • Mais de 800 servidores para conteúdo global
  • Velocidades de 10 Gbps para zero atraso
  • Segurança VPN mais forte do WireGuard
  • Proteção dupla do servidor VPN
  • Proteção VPN para até 10 dispositivos
  • Política de reembolso total de 31 dias
Get FastestVPN