Para utilizar esta técnica é muito simples, basta adicionar em campos de formulários comandos de javascript para manipular o conteúdo HTML renderizado no cliente. Ou seja, você pode pegar qualquer formulário que seja utilizado para gerar uma página online e adicionar o código javascript neste, se o conteúdo recebido do formulário não for manipulado nem monitorado pelo programador e repassado na integra para uma página online este código é então executado pelos internautas que estejam visualizando a página.

Eu poderia, p. ex., adicionar um texto como “este é apenas um preenchimento <script> alert(‘este é o conteúdo do script que será mostrado em tela’); </script>” em um campo no formulário, o conteúdo do formulário é salvo na integra no banco de dados e se este conteúdo for repassado diretamente para uma página uma mensagem no estilo “alert” do javascript será apresentada para os internautas.

Hoje em dia, graças a popularidade e a facilidade da técnica XSS, é comum que os sistemas utilizem testes para dificultar ataques de XSS, porem vez por outra eles são encontrados. No lado do desenvolvedor o mais comum é avaliar o conteúdo digitado pelo usuário antes mesmo de repassar tal conteúdo para a base de dados, assim você tem apenas um teste referente ao conteúdo e pode apresentar ao usuário uma mensagem mais explicativa que irá diminuir os ânimos deste para com futuros testes de segurança em seu sistema.

A maioria dos programadores, ou mesmo dos atacantes que utilizam esta técnica dão preferência para utiliza-la em campos do tipo texto que possibilitam a adição de um texto maior, mais completo, porem ela pode ser utilizada em qualquer campo de edição disponibilizado pelo sistema. A desvantagem de utilizar-la em um campo de nome, por exemplo, é que geralmente campos como este tem um tamanho de armazenamento na base de dados restrito a poucos caracteres, por volta de 30 e 50, de forma que se eu escrever algo como “pergunta?” não sobra muito para armazenar meu código agressor. A vantagem destes campos é que justamente eles são pouco gerenciados por analistas e administradores e você pode utilizar vários deles compostos para formar um único código de ataque, você pode começar o script de ataque no campo nome e utilizando-se de argumentos de comentários continuar o script no campo sobrenome. P. ex., em nome eu adiciono “Ricardo<script>/*” e em sobrenome eu adiciono “*/ alert(’este site é inseguro’);</script>”. Este tipo de ataque é mais complexo do que adicionar todo o script em um único campo e vez por outra ele não funciona por haver um “fechar comentário” no meio do código original da página que não possibilitaria com que o código no campo sobrenome fosse interpretado como um script.

One Response to “Como utilizar o XSS”

1. XSS desvendado! : Programa Brasil on July 22nd, 2008 8:29 am

   […] Veja mais sobre este assunto na continuação da matéria: Como utilizar o XSS […]

Leave a Reply

Últimos posts

• SSH Private Key Files, o livro
• Como checar e corrigir erros de disco no linux
• Períodos militares no Brasil
• Boas práticas na geração de chaves privadas (private keys)
• Orientações gerais para manter fotos com boa qualidade visual.