Scripting entre sites
Cross-site scripting (XSS) é um ataque de incorporação de script que pode ser plantado em formulários de entrada de sites. Esses scripts podem ser usados para roubar informações confidenciais, como detalhes de login ou dados pessoais que os usuários compartilham com aplicativos da Web.
Três tipos de ataques XSS Armazenado, Reflexivo e DOM
XSS armazenado (XSS persistente)
Os ataques XSS armazenados ocorrem quando scripts mal-intencionados são armazenados permanentemente no servidor de destino. Quando um usuário acessa uma página afetada, o script é enviado ao navegador e executado. Também é chamado de XSS persistente porque é armazenado permanentemente.
XSS refletido (XSS não persistente)
Os ataques de XSS refletido induzem os usuários a clicar em links que contêm scripts mal-intencionados. Quando o usuário clica no link, o script é enviado para o servidor e refletido no navegador do usuário, onde é executado. Também conhecido como XSS não persistente.
XSS baseado em DOM
Os ataques XSS baseados em DOM manipulam o Document Object Model, a interface de programação de um documento da Web. O invasor manipula o ambiente DOM do navegador da vítima, que é usado pelo script original do lado do cliente, para que o código do lado do cliente seja executado de forma inesperada.
Exemplos de cross-site scripting
Um exemplo de ataque prático de XSS é uma campanha de phishing que envia e-mails ou mensagens diretas de redes sociais para um grande número de pessoas.
Um invasor pode usar um ataque XSS para injetar um script em um site de banco, por exemplo. Quando o usuário faz login, o script recupera as informações de login, especificamente o que foi digitado e as informações do cookie, e as envia para o invasor.
Essas armadilhas podem ser encontradas em sites de redes sociais, como Instagram e Twitter, que são usados diariamente, além do e-mail, portanto, fique atento. Além disso, as armadilhas em sites financeiros são bastante comuns, portanto, tome muito cuidado com eles.
コメント