Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
E aí Pessoal Meu nome é Ne0xxx, sou novo na área de Segurança da informação, parada que eu curto bastante, e atualmente estou aprendendo com Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... um poco sobre XSS.
Mas que diabos é Cross Site Scripting ou XSS ?
É uma falha de segurança que pode levar o atacante a obter informações sigilosas ou até mesmo controlar um servidor como se fosse o admin (Sequestrando o Browser) Alheio por exemplo, são muitas as possibilidades. E aí? Interessante ?
0*pm_cikoaKjZWgMzU.png
Através de um XSS, o atacante consegue injetar codigos javascript no navegador da vitima.
Assim você pode direcionar usuários para outro site, capturar o que ele digita ou coletar os cookies que o identificam em um determinado site (podendo se passar pela vitima sem precisar de usar sua senha).
XSS está entre os mais desenfreados tipos de vulnerabilidades de aplicativos web existentes.
0*TcMuOHSMhZvBieIT.jpg
Tõ falando maluco, né mole não.
Basicamente existem alguns tipos de XSS mas vamos falar apenas destes aqui:
XSS Reflected (Quando é executado pela URL)
XSS Stored (Quando é executado ao entrar na página)
XSS Reflected:
ataques XSS refletido, também conhecidos como ataques não persistentes, ocorre quando um script malicioso é refletido fora de uma aplicação web para o navegador da vítima.
O script é ativado através de um link, que envia uma solicitação para um site com uma vulnerabilidade que permite a execução de scripts maliciosos. A vulnerabilidade é tipicamente um resultado de solicitações de entrada quenão está sendo suficientemente higienizados, o que permite a manipulação de funções de um aplicativo web e a ativação de scripts maliciosos.
1*bIKjLKq8xx7qt62bkaGNfA.png
Para distribuir o link malicioso, um Atacante normalmente incorpora o link em comentários, Foruns, medias sócias ou através de e-mail ( pishing). O link é usado junto a algum tipo de mensagem que provoca a clicar nele o que inicia o pedido XSS para um site explorado, refletindo o ataque de volta para o usuário.
0*64bJXNQpQEnkMVy-.jpg
XSS Stored (Armazenado, Persistente):
O tipo mais prejudicial de XSS é o armazenado, XSS (Persistente). ataques XSS armazenados envolve um atacante injetar um script que é armazenado permanentemente sobre a aplicação de destino, (por exemplo, dentro de um banco de dados). O exemplo clássico de XSS armazenado é um script malicioso inserido por um atacante em um campo de comentário em um blog ou em um post no fórum.
Quando uma vítima navega para a página web afetada em um browser, a carga XSS será vista como parte da página web (assim como um comentário legítimo faria). Isto significa que as vítimas serão atingidas e nem saberão de onde veio o ataque.
0*5Gea50Zly09crMMj.jpg
E aí Pessoal Meu nome é Ne0xxx, sou novo na área de Segurança da informação, parada que eu curto bastante, e atualmente estou aprendendo com Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... um poco sobre XSS.
Mas que diabos é Cross Site Scripting ou XSS ?
É uma falha de segurança que pode levar o atacante a obter informações sigilosas ou até mesmo controlar um servidor como se fosse o admin (Sequestrando o Browser) Alheio por exemplo, são muitas as possibilidades. E aí? Interessante ?
0*pm_cikoaKjZWgMzU.png
Através de um XSS, o atacante consegue injetar codigos javascript no navegador da vitima.
Assim você pode direcionar usuários para outro site, capturar o que ele digita ou coletar os cookies que o identificam em um determinado site (podendo se passar pela vitima sem precisar de usar sua senha).
XSS está entre os mais desenfreados tipos de vulnerabilidades de aplicativos web existentes.
0*TcMuOHSMhZvBieIT.jpg
Tõ falando maluco, né mole não.
Basicamente existem alguns tipos de XSS mas vamos falar apenas destes aqui:
XSS Reflected (Quando é executado pela URL)
XSS Stored (Quando é executado ao entrar na página)
XSS Reflected:
ataques XSS refletido, também conhecidos como ataques não persistentes, ocorre quando um script malicioso é refletido fora de uma aplicação web para o navegador da vítima.
O script é ativado através de um link, que envia uma solicitação para um site com uma vulnerabilidade que permite a execução de scripts maliciosos. A vulnerabilidade é tipicamente um resultado de solicitações de entrada quenão está sendo suficientemente higienizados, o que permite a manipulação de funções de um aplicativo web e a ativação de scripts maliciosos.
1*bIKjLKq8xx7qt62bkaGNfA.png
Para distribuir o link malicioso, um Atacante normalmente incorpora o link em comentários, Foruns, medias sócias ou através de e-mail ( pishing). O link é usado junto a algum tipo de mensagem que provoca a clicar nele o que inicia o pedido XSS para um site explorado, refletindo o ataque de volta para o usuário.
0*64bJXNQpQEnkMVy-.jpg
XSS Stored (Armazenado, Persistente):
O tipo mais prejudicial de XSS é o armazenado, XSS (Persistente). ataques XSS armazenados envolve um atacante injetar um script que é armazenado permanentemente sobre a aplicação de destino, (por exemplo, dentro de um banco de dados). O exemplo clássico de XSS armazenado é um script malicioso inserido por um atacante em um campo de comentário em um blog ou em um post no fórum.
Quando uma vítima navega para a página web afetada em um browser, a carga XSS será vista como parte da página web (assim como um comentário legítimo faria). Isto significa que as vítimas serão atingidas e nem saberão de onde veio o ataque.
0*5Gea50Zly09crMMj.jpg