Com a abertura do mundo digital a várias ameaças, é raro o dia que não se ouça falar de ataques informáticos.
Seja direcionado a empresas, pessoas ou serviços, cross-site scripting é cada vez mais usado.
Ou seja, estes ataques pretendem explorar vulnerabilidades.
Então, o que é Cross-Site Scripting?
Basicamente são ataques que consistem em injetar códigos em sites.
Já os XSS ocorrem quando um atacante envia o código malicioso, na forma de um script, do lado do navegador para um sistema remoto.
Através desse XSS, o atacante injeta, por exemplo, m código JavaScript num campo de texto de uma página já existente e esse JavaScript é apresentado a outros utilizadores, visto que persiste na página.
Ainda assim, existem vários tipos de Cross Site Scripting (XSS).
Que são:
- Persistente: O Script injetado pelo atacante fica de forma permanente no servidor de destino. O que significa que qualquer utilizador pode executar o código sem qualquer ação específica. Este é um tipo de XSS muito perigoso no ataque. Isto porque, o código pode ficar alojado em zonas tão simples como, a caixa de comentário de uma base de dados.
- Não persistente: Este tipo de Script não está alojado no servidor de destino. Por isso mesmo, é preciso fazê-lo chegar à vítima. Através de um link distribuído por esquemas de phishing de e-mail. Ao selecionar o Script, o código passa pelo navegador. Esta é a mais frequente.
- Baseado em DOM: Já este tipo, explora o Document Object Model, (DOM). Que é a interface que defini a leitura HTML e XML no navegador. Ou seja, este Script consegue alterar a propriedade das aplicações que executam estas extensões diretamente no navegador. Assim, a falha está na validação do código HTML ou XML do navegador.
A possibilidade de se realizarem ataques através das vulnerabilidades do XSS ocorre porque, por norma, as validações de dados são mal feitas.
Contudo, existe um guia de prevenção XSS disponível gratuitamente o site da OWASP.
Não percas também: MediaTek com novas parcerias para se manter como líder