XSS desvendado!

Author: Ricardo Soares - Postado em: 08/07/2008
Relacionado as categorias: Segurança, WB4B, Tecnologia, Diversos |  





XSS quer dizer Cross Site Scripting, seu nome originalmente era CSS e apesar de ser mais antigo que a tecnologia CSS ele é muito menos popular, por isto quando surgiu a CSS diversos técnicos de segurança começaram a chamar a falha de XSS, graças ao XHTML, linguagem a qual geralmente se encontra a falha. O XSS é uma das mais populares técnicas de “Injection” (Em Português Injeção, de injetar, ou adicionar) que existe, nada mais é do que a injeção de códigos extras, não necessariamente danosos, em uma página de internet.

Tecnicamente falando o XSS é um ataque no qual o atacante tem permissão para manipular o código do site sendo atacado, esta manipulação não efetuada diretamente em arquivos e por esta razão muitos programadores não se dão conta da grande importância que tem tal cuidado quando na confecção de seus sistemas. O XSS é muito popular e originalmente é utilizado não como uma falha, mas como uma função extra para implementar frases coloridas no site e coisas do tipo, o problema é que quando este tipo de função não é devidamente controlada ela se torna uma brecha para uma falha de segurança de grande potencial. Em sua maioria os ataques feitos utilizando-se de XSS apenas apresentam mensagens do tipo “Este site foi hackeado por ZéMal”, o problema é quando o agressor utiliza o XSS para implementar códigos mais agressivos que podem, p. ex., propiciar o roubo de uma sessão ou enganar o internauta à ponto de faze-lo digitar senhas e coisas do tipo ou até mesmo executar um ataque de DoS na máquina cliente ou de um DDoS na máquina servidora. Vamos tentar detalhar nos próximos dias cada um destes cenários.

Veja mais sobre este assunto na continuação da matéria:
Como utilizar o XSS

Quem quiser pode ler sobre estes assuntos nos links abaixo para adquirir mais informações:
http://en.wikipedia.org/wiki/Cross-site_scripting
https://www.owasp.org/index.php/Cross-site-scripting
https://www.owasp.org/index.php/Invoking_untrusted_mobile_code

Links para notícias de um ataque de XSS no site do candidato a Presidente dos EUA Barack Obama.
http://news.netcraft.com/archives/2008/04/24/clinton_and_obama_xss_battle_develops.html
http://news.netcraft.com/archives/2008/04/21/hacker_redirects_barack_obamas_site_to_hillaryclintoncom.html

Vídeo sobre o caso Barack Obama / Hillary Clinton













Comments

Leave a Reply






Últimos posts