Scribd Logo
Carregar

Bem-vindo(a) ao Scribd!

  • 60 visualizações

    Entendendo e Evitando Ataques XSS

    Enviado por

    viniciuspereiragoncalves
    O documento discute três tipos de ataques XSS: Refletido, no qual dados não seguros são retornados para o navegador; Armazenado, onde dados não seguros são armazenados para serem recuperados posteriormente; e Baseado no DOM, que manipula códigos no lado do cliente. O documento enfatiza a importância do tratamento de entradas para evitar esses ataques.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd

    Entendendo e Evitando Ataques XSS

    Enviado por

    viniciuspereiragoncalves
    60 visualizações3 páginas
    O documento discute três tipos de ataques XSS: Refletido, no qual dados não seguros são retornados para o navegador; Armazenado, onde dados não seguros são armazenados para serem recuperados posteriormente; e Baseado no DOM, que manipula códigos no lado do cliente. O documento enfatiza a importância do tratamento de entradas para evitar esses ataques.

    Descrição original:

    #ATPS

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOCX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    O documento discute três tipos de ataques XSS: Refletido, no qual dados não seguros são retornados para o navegador; Armazenado, onde dados não seguros são armazenados para serem recuperados posteriormente; e Baseado no DOM, que manipula códigos no lado do cliente. O documento enfatiza a importância do tratamento de entradas para evitar esses ataques.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Fazer download em docx, pdf ou txt
    60 visualizações3 páginas

    Entendendo e Evitando Ataques XSS

    Enviado por

    viniciuspereiragoncalves
    O documento discute três tipos de ataques XSS: Refletido, no qual dados não seguros são retornados para o navegador; Armazenado, onde dados não seguros são armazenados para serem recuperados posteriormente; e Baseado no DOM, que manipula códigos no lado do cliente. O documento enfatiza a importância do tratamento de entradas para evitar esses ataques.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Fazer download em docx, pdf ou txt
    de 3

    Entendendo e Evitando Ataques XSS, DDoS e Roubo de Sesso,

    Essa modalidade de ataque ocorre quando uma aplicao web aceita dados do
    usurio sem nenhum tipo de tratamento. Assim, um possvel atacante pode
    injetar um cdigo JavaScript, SQL, ActiveX ou outro, para comprometer a
    segurana da aplicao coletando dados ou burlando mtodos de validao a
    reas restritas.

    H trs tipos de ataques XSS:

    Refletido (Reflected)

    O refletido caracteriza-se por receber os dados no seguros de um usurio


    e retorn-los diretamente para o browser navegador. Um ataque refletido
    normalmente entregue via e-mail ou um site neutro. A isca uma URL de
    aparncia inocente, apontando para um site confivel, mas contendo o vetor
    de XSS. Se o site confivel vulnervel ao vetor, clicar no link pode fazer
    com que o navegador da vtima execute o script injetado.

    Armazenado (persistido, Stored)

    O XSS armazenado quando os dados no seguros so armazenados em


    algum meio para que posteriormente seja recuperado. Tem prejuzo
    consideravelmente maior que os outros tipos.

    Baseado no DOM (DOM Injection)

    O baseado no DOM atua manipulando ou criando cdigo client-side do


    lado do cliente na pgina. O ataque pode utilizar apenas uma tcnica ou
    uma combinao das trs.

    Sempre Exedutado do Lado Cliente. Envolve falha no tratamento de entradas,


    o dado nao tratado submetido de volta ao usurio. O nao tratamento de
    entradas o principal motivo.

    Stored: O Codido injetado armarzenado permanentemente na aplicao


    ( Comentarios, Posts, Log) a vitima recebe o codigo malicioso junto com a
    requisio feita.

    Envolve manipulao de dados "posts, comentarios, inputs de dados", a


    aplicao vai tratar o conteudo como um texto normal e se a aplicao nao fizer
    o devido tratamento, o navegador "browser" do usurio que visualizar vai fazer
    a interpretao do conteudo sem filtros da forma que foi feito o input "entrada".
    impacto grande pois sempre que esse conteudo for exibido pelos usurios ir
    sobfrer o XSS.

    Preucupao e dedicao para evitar esse ataque XSS nesse caso tem que vir
    da aplicao. Tratamento de entradas, Tratamento de Strings.

    Refletido: Podemos usar o campo de input text ou uma url maliciosa ja


    montada.

    O codigo "refletido" para o usurio atraves de respostas que contenham


    dados nao tratados recebidos pela aplicao (resultados de bus, mensagens
    de erro). Geralmente disseminado atraves de links maliciosos.

    Ocorre geralmente baseado em links com uma requisio ja manipulada


    "maliciosa". Ela geralmente tem um alcance menor pois ele atinge somente a
    vitima que clicou naquele momento ali e nao todos os usurios que acessos
    determinado post.

    DOM : Manipula o ambiente cliente-side. Trabalha na manipulao das aes


    no Browser do usurio. Nao tem necessariamente uma vulnerabilidade da
    aplicao. Porem o navegador ferramenta de acesso ao sistema Browser

    manipulada e ir tratar as tarefas com anomalias maliciosas. Nem precisa estar


    online

    Você também pode gostar