Cross Site Scripting

Publicado: maio 15, 2009 em ataques, normal
Tags:, ,

Cross Site Scripting(XSS) -> É uma vulnerabilidade de segurança da informaçao, normalmente

encontrados em aplicaçoes web que permitem injecçao codigo malicioso por internautas para a web
paginas visualizadas por outros usuarios. Exemplos dessas, incluiem codigo HTML e codigo
Client-side scripts. Um explorado Cross Site Scripting vulnerabilidade pode ser usada por atacantes para contornar o acesso. Como a mesma origem politica. Vulnerabilidades deste tipo tem side exploradas para embarcaçoes do poderoso phishing e ataques navegador explora. A partir de
2007, cross-site scripting em sites foram realizadas cerca de 80% de todas as vulnerabilidades de

segurança documentadas.
O TERMO Cross Site Scripting, Originou-se do fato de que um site malicioso poderia carregar outro
site em um outro quadro ou janela, em seguida, utilize o javascript para ler / escrever dados no outro site.
Ataques XSS são escritos em uma linguagem script do lado do cliente, na maioria das vezes um

dialeto do ECMAScript (por exemplo, o JavaScript,JScript), por vezes incluindo algumas linguagem de marcação, como HTML ou XHTML também.
Tipos

Tres tipos distintos de XSS vulnerabilidades existentes: Não-persistente, Persistente e com base  em DOM(que pode ser persistente ou nao-persistente.

DOM-BASED
O DOM-BASED XSS vulnerabilidade, tambem referidos como locais  cross-site scripting, é baseado no

modelo de objeto para representar padrao HTML ou XML chamado o document object Model ou DOM para curto.
Na pratica, explorando esse buraco seria muito semelhante a de nao explorar vulnerabilidades persistentes tipo, exceto em uma situaçao muito importante.

PERSISTENTES

Um vulnerabilidade do ordem de armazenados OU de segunda do uma do como do referido do é do também do persistente do vulnerabilidade XSS, mais poderosos tipos de ataques do ósmio do que do permite
de e. Um tipo – uma vulnerabilidade de 2 XSS existe quando os dados fornecidos a uma aplicação web  por um usuário estão armazenados primeiramente persistente no usuário (em uma base de dados, no
filesystem, ou na outra posição), e indicado mais tarde aos usuários em um Web page sem ser codificada usando entidades do HTML. [7] Um exemplo clássico deste é com placas de mensagem em linha, onde são permitidos aos usuários afixar mensagens formatadas do HTML para que outros
usuários leiam.  Persistentemente dos armazenados do primeiro do é do usuário do um do por da correia fotorreceptora do aplicação do uma de para dos fornecidos dos dados do ósmio do quando do existe do vulnerabilidade do tipo 2 XSS do Um nenhum servidor (em um de banco dados, arquivos,
local do outro do em da OU) e, posteriormente, HTML dos entidades do usando dos codificados do ser dos sem da correia fotorreceptora do página do uma do em dos usuários do ósmio de para do exibido.  É COM quadros de mensagens do disto do clássico do exemplo do Um em linha, mensagens enviar para outros usuários de ler do formatado do HTML dos mensagens de para do permissão do têm dos usuários do ósmio do onde.

NAO-PERSISTENTES

Um vulnerabilidade scripting do reflectido do uma do como do referido do também do é do buraco do

cruz-local do não-persistente, é de e, De Longe, comum dos mais do tipo do. Os certificados do por do imediatamente do usado do é da correia fotorreceptora da Dinamarca do cliente do um do
por dos fornecidos dos dados do ósmio do quando do aparecem dos buracos de Estes fazem o lado
fazem o usuário gerar de para uma página de resultados para o do servidor. O codificação

unvalidated SE do HTML sem do resultante do página do na dos incluídos do estão dos dados do usuário-forneceu, que do permitirá do isto faz o lado faz o código do cliente um dinâmica do página do na do injectada do ser.

FONTE: wikipedia

comentários
  1. Juca Coqueiro disse:

    Que isso eim?

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s