CROSS SITE SCRIPTING

Entenda os Ataques XSS – Cross-Site Scripting

O script entre sites (XSS-Cross-Site Scripting) é um tipo de vulnerabilidade de segurança normalmente encontrada em aplicativos da Web que permite a injeção de código por usuários mal-intencionados nas páginas da Web visualizadas por outros usuários. Exemplos desses códigos incluem HTML e scripts do lado do cliente. Esta vulnerabilidade pode ser usada por invasores para ignorar controles de acesso, como a mesma diretiva de origem.

Recentemente, vulnerabilidades desse tipo foram exploradas para criar poderosos ataques de phishing e explorações de navegadores.

Essa vulnerabilidade geralmente é mais significante do que outras porque um invasor poderá injetar um script apenas uma vez e atingir um grande número de outros usuários com pouca necessidade de engenharia social ou poderá infectar um aplicativo da Web com um virus cross-site scripting.

Os invasores que exploram as vulnerabilidades de script entre sites tratam cada classe desta vulnerabilidade com um vetor de ataque específico, conforme os cenários apresentados a seguir: Continue lendo!

ALGUMAS MANEIRAS DE INVADIR UM WEBSITE

Como tenho dito em posts anteriores, este blog é o resultado das minhas anotações, anoto tudo, a primeira coisa que faço ao ligar o meu notebook é abrir o bloco de notas.

Antes de existir a internet, pelos idos de 1976 – quando a mídia de armazenamento eram os cartões perfurados em máquinas enormes e complicadas, e que eram lidos por um mainframe IBM 1130 -, estudei a primeira linguagem: Fortran; depois um pouco de Cobol (fiquei no básico, cálculos financeiros nunca foi minha praia), até que apareceu o PC e comprei um Digitus DGT-1000 com armazenamento em disquete de 5″1/4 e fita cassete, um Microprocessador Z80; então comecei com o Basic, uma escolinha para linguagem de alto nível e, porque não, o Assembly que me fez descobrir a preferência pelo baixo nível. Afinal, naquele tempo eu trabalhava com eletrônica, “hardware” era um termo novo.

Bem, chega desse papo de Dinossauro. Só quero dizer que que nunca tive intimidade com desenvolvimento de Frontend, apenas o essencial de HTML; e agora estou investindo em PHP, CSS, JavaScript… e, por questões éticas, estou construindo uma infra em uma máquina virtual – algo como Windows server com IIS e SQL Server, Apache, Nginx,… vou ver o que minha humilde máquina permite para um laboratório de testes de invasão de sites/bancos de dados com foco em “defacement“, desfiguração, alteração visual de sites. Continue lendo!