O que é cross-site scripting?

ataques XSS alterar sites confiáveis ​​com código malicioso.

ataques XSS alterar sites confiáveis ​​com código malicioso.

Video: Curso Hacker - Aula 011 - Explorando Falhas XSS

Cross-site scripting ou XSS, é um método de injeção de código malicioso e ligações em código de um site de outra forma segura. XSS é uma das técnicas de hacking mais comumente usados. Enquanto navegadores da Web têm built-in de segurança para evitar uma série de ataques XSS, os hackers ainda pode explorar os pontos fracos no programa para convencer o navegador que plantou código é confiável.

Video: [Segurança] Oque é Cross Site Forgery (CSRF)

Injetando código XSS

Hackers não precisa de acesso direto ao código de um site para colocar XSS attacks- em vez disso, eles normalmente explorar campos user-entrada em anexos de e-mail, comentários e quadros de avisos. ataques XSS explorar campos destinados aos usuários inserir texto em uma página da Web, incluindo código que carrega um script não autorizado na página que pode seqüestrar o navegador e roubar informações. Os navegadores da Web não permitir que scripts em um só site para afetar outra, de modo ataques XSS não funcionará através do carregamento de uma página Web dentro de outro com um iframe. No entanto, o conteúdo, como comentários e mensagens bulletin board existem no próprio site, então script chama no trabalho de campo. Sites com páginas codificadas individualmente, sem campos de entrada do usuário são de baixo risco para ataques XSS, mas as páginas dinâmicas geradas através de um sistema de gerenciamento de conteúdo são propensas a ataques XSS.

Explorando Parâmetros



Sites usam vários métodos para armazenar coisas como nomes de usuário e senhas para permitir que usuários autorizados acessem conteúdo restrito. Hackers podem colocar códigos maliciosos em páginas que podem seqüestrar informações do usuário passado como um parâmetro na URL. Os parâmetros são um método de armazenar e transmitir informações entre as páginas do browser através da adição de valores para o URL. linguagens de programação como javascript têm acesso gratuito aos parâmetros de URL, de modo que o código injetado pode solicitar os valores dos parâmetros, como nomes de usuário e senhas, e enviar esses valores em qualquer lugar.

Roubar os cookies

Sites geralmente usam "biscoitos," ou pequenos arquivos armazenados em computador, para salvar as informações do usuário para uso em páginas diferentes. Sites só pode acessar os cookies que eles criam, então site A não pode ler os cookies do site B. No entanto, um terceiro pode "Poção" cookies do site A injetando código-interpretar cookie no site A e encaminhá-lo ao longo para o site B.

Video: Conhecendo Cross Site Scripting

Protegendo sites a partir Injection

Webmasters pode proteger seu site de hospedagem ataques XSS, filtrando códigos potencialmente maliciosos dos visitantes do site. Um webmaster pode adicionar uma verificação de segurança para comentar e postar campos que retira comandos como o "roteiro" tag. Hackers podem tentar carregar scripts XSS através de outras tags HTML, bem como o uso caracteres codificados para filtros de bypass. Webmasters podem trabalhar ataques de injeção em torno codificadas por eliminasse ASCII caracteres especiais, código de codificação de URL, códigos numéricos HTML e códigos de nome HTML de campos user-entrada. Webmasters também pode usar ferramentas como Acunetix Scanner de Vulnerabilidade Web, SC Labs` Exploit-Me eo plugin XSS mim Firefox para verificar se há vulnerabilidades (consulte Recursos).

Referências

  • ligação OWSAP.org: Cross-site Scripting (XSS)
  • ligação PC Magazine: Definição de: XSS
  • ligação Cgisecurity: The Cross-Site Scripting (XSS) FAQ
  • ligação Acunetix: Cross Site Scripting Ataque
  • ligação República tecnologia: O que é Cross-Site Scripting?
  • ligação Computador esperança Jargon: Envenenamento de Cookies

Sobre o autor

Dan Stone começou a escrever profissionalmente em 2006, especializada em educação, tecnologia e música. Ele é um desenvolvedor web para uma empresa de comunicações e, anteriormente, trabalhou na televisão. Pedra recebeu um Bachelor of Arts em jornalismo e um Master of Arts em estudos de comunicação da Northern Illinois University.


Artigos relacionados