Tweet
Olá pessoal, vamos lá mais uma vez com uma matéria sobre vulnerabilidades em aplicações Web.
O que é XSS (Cross Site Scripting) ?
Hoje em dia segundo estatísticas apontadas revelam que XSS está no topo das vulnerabilidades em aplicações Web mais exploradas. Ela ocorre da mesma forma que a maioria que envolvem aplicações web, quando passamos parâmetros pelos métodos POST ou GET e não fazemos o tratamento corretamente é possível executar comandos em javascript para executar alguma rotina. Ela tem como objetivo tonar aquele código executado de uma área que não tem privilégios tornando ela privilegiada. Mas o que podemos fazer quando encontramos uma falha como essa ?? Muitas coisas como por exemplo roubo de cookies ou redirecionamento para uma página falsa (Phishing) podem ser feitas, notei também em alguns e-mails que recebi que usaram sites de bancos com falhas de XSS para redirecionar para uma página falsa para efetuar download de um “suposto boleto de dívida”, mas adiante iremos falar mais sobre.
Para aqueles que ainda não sabem como funciona a passagem de parâmetros por GET ou POST recomendo que antes de mais nada leiam a minha matéria anterior Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... sobre Injeção de SQL .
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Att,
Marcelo Moraes.
O que é XSS (Cross Site Scripting) ?
Hoje em dia segundo estatísticas apontadas revelam que XSS está no topo das vulnerabilidades em aplicações Web mais exploradas. Ela ocorre da mesma forma que a maioria que envolvem aplicações web, quando passamos parâmetros pelos métodos POST ou GET e não fazemos o tratamento corretamente é possível executar comandos em javascript para executar alguma rotina. Ela tem como objetivo tonar aquele código executado de uma área que não tem privilégios tornando ela privilegiada. Mas o que podemos fazer quando encontramos uma falha como essa ?? Muitas coisas como por exemplo roubo de cookies ou redirecionamento para uma página falsa (Phishing) podem ser feitas, notei também em alguns e-mails que recebi que usaram sites de bancos com falhas de XSS para redirecionar para uma página falsa para efetuar download de um “suposto boleto de dívida”, mas adiante iremos falar mais sobre.
Para aqueles que ainda não sabem como funciona a passagem de parâmetros por GET ou POST recomendo que antes de mais nada leiam a minha matéria anterior Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... sobre Injeção de SQL .
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Att,
Marcelo Moraes.
