2. O que é XSS
XSS quer dizer Cross Site Scripting, seu nome
originalmente era CSS e apesar de ser mais antigo que a
tecnologia CSS ele é muito menos popular, por isto quando
surgiu a CSS diversos técnicos de segurança começaram a
chamar a falha de XSS, graças ao XHTML, linguagem a
qual geralmente se encontra a falha.
O XSS é uma das mais populares técnicas de “Injection”
(Em Português Injeção, de injetar, ou adicionar) que existe,
nada mais é do que a injeção de códigos extras, não
necessariamente danosos, em uma página de internet.
3. Freqüência de ocorrencia
39%
27%
16%
9% 9%
Cross Site Scripting Credentials Session SQL Injection Outros Controles
Prediction insuficientes
2008 Acumetix Ltd
http://www.acunetix.com/websitesecurity/cross-site-scripting.htm
4. Problemas que acarreta
1. Alteração do conteúdo do HTML da página;
2. Apresentação de mensagens (por alerts de
javascript) incorretas ao usuário final;
3. Roubo de sessão;
4. Roubo de audiencia;
5. Ataque de carga ao sistema servidor;
5. Utilidades mais comuns de uso
- Roubo de identidade;
- Acesso à informações restritas de grande
importancia;
- Ganhar acesso à conteúdo pago;
- Monitorar habito de navegação dos usuários;
- Alterar funcionalidades básicas do browser;
- Defamação publica de um indivíduo ou empresa;
- Danificar aplicações Web;
- Proporcionar um DoS ou um DDoS.
8. Como executar
Executa-se por meio de adição de código XHTML em
campos comuns de formulários ou variáveis passadas
por GET para funcionalidades como paginação e links,
não necessáriamente apenas de texto.
XSS comum
Altera o conteúdo da página atual
XSRF
Encaminha o usuário para outra página, ou abre
páginas externas no site sendo visitado