Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

O Que é XSS e o que é possível fazer com ele?

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    O Que é XSS e o que é possível fazer com ele?

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...


    E aí Pessoal Meu nome é Ne0xxx, sou novo na área de Segurança da informação, parada que eu curto bastante, e atualmente estou aprendendo com Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... um poco sobre XSS.
    Mas que diabos é Cross Site Scripting ou XSS ?
    É uma falha de segurança que pode levar o atacante a obter informações sigilosas ou até mesmo controlar um servidor como se fosse o admin (Sequestrando o Browser) Alheio por exemplo, são muitas as possibilidades. E aí? Interessante ?

    0*pm_cikoaKjZWgMzU.png
    Através de um XSS, o atacante consegue injetar codigos javascript no navegador da vitima.
    Assim você pode direcionar usuários para outro site, capturar o que ele digita ou coletar os cookies que o identificam em um determinado site (podendo se passar pela vitima sem precisar de usar sua senha).
    XSS está entre os mais desenfreados tipos de vulnerabilidades de aplicativos web existentes.

    0*TcMuOHSMhZvBieIT.jpg
    Tõ falando maluco, né mole não.
    Basicamente existem alguns tipos de XSS mas vamos falar apenas destes aqui:
    XSS Reflected (Quando é executado pela URL)
    XSS Stored (Quando é executado ao entrar na página)
    XSS Reflected:
    ataques XSS refletido, também conhecidos como ataques não persistentes, ocorre quando um script malicioso é refletido fora de uma aplicação web para o navegador da vítima.
    O script é ativado através de um link, que envia uma solicitação para um site com uma vulnerabilidade que permite a execução de scripts maliciosos. A vulnerabilidade é tipicamente um resultado de solicitações de entrada quenão está sendo suficientemente higienizados, o que permite a manipulação de funções de um aplicativo web e a ativação de scripts maliciosos.

    1*bIKjLKq8xx7qt62bkaGNfA.png
    Para distribuir o link malicioso, um Atacante normalmente incorpora o link em comentários, Foruns, medias sócias ou através de e-mail ( pishing). O link é usado junto a algum tipo de mensagem que provoca a clicar nele o que inicia o pedido XSS para um site explorado, refletindo o ataque de volta para o usuário.

    0*64bJXNQpQEnkMVy-.jpg
    XSS Stored (Armazenado, Persistente):
    O tipo mais prejudicial de XSS é o armazenado, XSS (Persistente). ataques XSS armazenados envolve um atacante injetar um script que é armazenado permanentemente sobre a aplicação de destino, (por exemplo, dentro de um banco de dados). O exemplo clássico de XSS armazenado é um script malicioso inserido por um atacante em um campo de comentário em um blog ou em um post no fórum.
    Quando uma vítima navega para a página web afetada em um browser, a carga XSS será vista como parte da página web (assim como um comentário legítimo faria). Isto significa que as vítimas serão atingidas e nem saberão de onde veio o ataque.

    0*5Gea50Zly09crMMj.jpg
    Similar Threads
X
Working...
X