Técnica

O que é XSS? Ataques de script entre sites explicados

Foto de MR.abdulkader MR.abdulkader
99
شرح اختراق المواقع عبر هجوم xss,اختراق المواقع,اختبار اختراق المواقع,ما هو الـ ip,ما هو الـ dns,ما هو الـ arp,ما هو الـ dhcp,ما هو الـ ipv6,ما هو الـ ipv4,ما هو الـ firewall,شرح استغلال تغرات المواقع,حماية المواقع من الإختراق,تامين المواقع,حماية المواقع,أختراق المواقع,المواقع,تأمين المواقع من الاختراق,اختراق المواقع xss,اهم لغات البرمحة,تأمين المواقع,تعلم اسقاط مواقع,اختراق مواقع,شرح اختراق مواقع,كيف اسقاط مواقع,ما هي الـ intranet,cross site scripting,what is cross site scripting,cross site scripting explained,cross-site scripting,cross site scripting attack,cross-site scripting attack,cross-site scripting (ranked item),xss attack,cross-site scripting explained,what is cross site scripting attack,cross site scripting tutorial,what is cross site scripting attack?,xss attack explained,what is cross site scripting (xss) attack,cross-site scripting attack tutorial
What is XSS? Cross-site scripting attacks explained

O que é XSS? Ataques de script entre sites explicados

 

No caso de um ataque XSS, os invasores injetam código malicioso em um formulário da Web ou URL de aplicativo da Web para forçá-lo a fazer algo que não deveria.


 
 

Cross-Site Scripting (XSS) é um ataque cibernético no qual um hacker insere código malicioso em um formulário da web ou url de um aplicativo da web. Esse código malicioso, escrito em uma linguagem de script como JavaScript ou PHP, pode fazer qualquer coisa, desde destruir a página que você está tentando carregar até roubar suas senhas ou outras credenciais de login.

O XSS faz uso de um aspecto importante da internet moderna, que é o fato de que a maioria das páginas da web são criadas enquanto as páginas estão sendo carregadas, às vezes executando código no próprio navegador. Isso pode dificultar a prevenção de tais ataques.

Confira também:

Como funciona um ataque XSS?

Qualquer pessoa pode criar um site que contenha código malicioso. No caso de um ataque de script entre sites, o invasor organiza tudo para que seu código chegue ao computador da vítima quando ela visitar o site de outra pessoa. É daí que vem a “cruz” no nome. Os ataques XSS conseguem isso sem exigir acesso privilegiado a um servidor da Web para colocar código clandestinamente. Em vez disso, os invasores aproveitam a maneira como os sites modernos funcionam.

Se alguém lhe pedisse uma explicação simples e básica de como a web funciona, você provavelmente poderia dizer algo assim: a pessoa que deseja criar uma página da web escreve um documento HTML e o coloca em um servidor web; Quando o usuário deseja acessar esta página, ele direciona seu navegador para o endereço do servidor, o navegador baixa e interpreta o código HTML e constrói uma cópia da página web do usuário.

Esta descrição não está errada, mas alguns aspectos estão desatualizados (e existem há mais de dez anos). Primeiro, muitas, se não todas, as páginas da web são dinâmicas hoje – ou seja, elas não exibem o mesmo HTML estático para todos os visitantes, mas são geradas instantaneamente a partir de informações no banco de dados do servidor quando o navegador solicita acesso. A página que o navegador recebe do servidor geralmente depende das informações enviadas com a solicitação – informações que às vezes assumem a forma de parâmetros na URL usada para acessar o site. Os sites não consistem apenas em HTML e Cascading Style Sheets (CSS) que descrevem como exibir texto e gráficos, mas também contêm código executável escrito em linguagens de script, geralmente JavaScript.

Em um ataque XSS, o hacker usa essa interação entre o usuário e o site para executar código malicioso no computador do usuário. mas como? Considere o seguinte URL:

https://www.google.com/search?q=CSO+online

Digite isso na barra de endereços do seu navegador e você verá os resultados de pesquisa do Google para “CSO Online”. Na verdade, a página que você verá é exatamente a mesma que teria digitado “CSO Online” na barra de pesquisa do seu navegador ou na página inicial do Google. Você notará, entre outras coisas, que essa frase aparece em vários lugares da página, inclusive na barra de busca nas montanhas:

O que é XSS? Esclareça os ataques de script entre sites

E se, em vez da frase inocente e bem-sucedida “CSO online”, esse URL contivesse um código JavaScript malicioso como este?

https://www.google.com/search?<script>doEvil()</script>

doEvil() faz um trabalho muito ruim aqui. Você pode estar preocupado que o Google, em vez de exibir “CSO Online” na página que você está retornando deste URL, integre dinamicamente o javascript incorreto na página que você está renderizando e que esse script esteja sendo executado em seu navegador , causando confusão. Suas preocupações serão infundadas, porque o Google tem um número muito grande de profissionais de segurança de TI talentosos entre seus funcionários e implementou medidas corretivas sobre as quais falaremos um pouco mais tarde. No entanto, nem todo site é muito cuidadoso e isso dá uma ideia de como esses ataques funcionam.

Ataki XSS

Os ataques XSS se enquadram em várias categorias: ataques refletidos, ataques baseados em DOM e ataques armazenados. Veja como eles diferem:

  • Ataques reflexos: também conhecidos como ataques fracos, o código JavaScript malicioso é enviado do navegador da vítima para o Google, depois refletido de volta em um formato executável, nunca armazenado nos servidores do Google. Esses ataques geralmente fazem parte de um esquema de phishing, em que o link malicioso é disfarçado como algo mais divertido e enviado à vítima por e-mail ou SMS.
  • Ataques baseados em DOM: Este é um tipo de ataque reflexo chamado Document Object Model, que é uma API padrão que define como os navegadores constroem uma página da Web a partir de código HTML ou JavaScript básico. A maioria dos ataques DOM é semelhante ao ataque reflexo descrito anteriormente, com a diferença de que o código malicioso nunca é enviado ao servidor: em vez disso, é passado como parâmetro para alguma função JavaScript que é executada no próprio navegador, o que significa que os mecanismos de proteção no lado do servidor são incapazes de proteger o usuário. Se você estiver interessado nos detalhes, o PortSwigger tem uma descrição mais detalhada de como os ataques DOM funcionam.
  • Ataques armazenados: de outra forma persistentes; O invasor usa os recursos interativos do site para salvar códigos maliciosos no servidor da web. Em um exemplo típico, o invasor deixa um comentário em uma postagem de blog que contém JavaScript malicioso. Na próxima vez que alguém carregar esta página, o código será executado.
  • Vulnerabilidade ao ataque XSS

O que torna um site vulnerável a um ataque XSS? Esperamos que nossa discussão até agora tenha fornecido alguma orientação. Se o seu aplicativo da Web ingenuamente receber a entrada do usuário, não verificar se há código executável mal-intencionado e usar esses dados para renderizar uma página ou executar outras operações, ele estará vulnerável a esse tipo de ataque.

E os riscos são grandes. O principal aspecto da segurança do navegador é a chamada política de mesma origem, que afirma que um script executado em uma página pode acessar dados na outra página somente se ambos os lados tiverem a mesma origem (definida como uma combinação de URI, nome do host, e porta numérica). No entanto, se o JavaScript malicioso puder ser executado no navegador enquanto a vítima estiver acessando o site, o navegador permitirá que o JavaScript acesse dados de outros sites que compartilham um recurso com o site vulnerável. O JavaScript pode acessar cookies e outras informações de sessão proprietárias, o que é uma boa receita para hackear as contas de internet das vítimas.

Payloads XSS

Na linguagem do malware, uma carga útil é um código executável que executa as ações exigidas pelo invasor. No caso de um ataque XSS, a carga útil é um código de script que o invasor executa para enganar o navegador da vítima e fazê-lo ser executado.

Há uma lista enorme de modelos de carga útil XSS no repositório Payloadbox no GitHub. Se você estiver familiarizado com JavaScript, revisá-lo pode lhe dar uma ideia de como os invasores XSS fazem seu trabalho sujo. No entanto, um ataque XSS vai além de recortar e colar a carga útil na URL: o invasor precisa entender as funções e vulnerabilidades específicas do aplicativo da Web que deseja explorar para planejar o ataque. Se você quiser se aprofundar e ver alguns exemplos de ataques XSS, confira o site OWASP XSS para uma visão detalhada do código do script que demonstra um ataque XSS.

Proteção e Prevenção XSS

Se você estiver criando ou mantendo um aplicativo da Web ou um site interativo, há três técnicas principais que você deve considerar em seu design para evitar possíveis ataques de script entre sites.

  • Esterilização dos dados de entrada. A resposta óbvia para evitar que código malicioso seja passado como entrada e devolvido ao usuário é simplesmente não aceitar código de script como entrada. Você definitivamente deve filtrar sua entrada com isso em mente, mas é mais fácil falar do que fazer; Pequenos pedaços de código executável podem passar por filtros. Uma maneira de lidar com esse problema é usar uma lista branca em vez de uma abordagem de lista negra – por exemplo, em vez de tentar escrever um filtro que bloqueie todos os códigos maliciosos que estão sendo alimentados em um formulário da Web, você precisa escrever seu aplicativo para aceitar o dados em determinados momentos Formatos (números de telefone, endereços de e-mail, etc.) somente quando é isso que você deseja.
  • Fuja da saída. Esta é a solução para o problema, por outro lado. Se um aplicativo da Web enviar a entrada do usuário de volta para uma página da Web, esses dados deverão ser filtrados para garantir que não se tornem executáveis ​​nessa página. Se o usuário inserir tags HTML como entrada, o aplicativo deverá usar caracteres substituídos para que essas tags apareçam como texto na página de resultados em vez de se integrarem ao HTML da própria página.
  • Política de segurança de conteúdo padrão (CSP). O CSP adota a abordagem de “lista branca” fora da entrada de texto no domínio do script: um aplicativo da Web deve executar apenas o código que o usuário especificou para ser seguro. O Google tem ótimos recursos para implementar o CSP.

teste XSS

O teste de vulnerabilidade para ataques XSS é um aspecto importante para garantir a segurança de um aplicativo da web. OWASP possui recursos que detalham como os aplicativos podem ser testados para evitar ataques DOM ou scripts entre sites reversos. Se você estiver procurando por uma planilha XSS, o OWASP também tem um documento com código de ataque XSS para você que pode ser usado para contornar alguns filtros de defesa XSS; Será inestimável nos testes de penetração que você pode realizar em seus próprios sistemas.

XSS e CSRF

Você pode ouvir que o CSRF é usado no mesmo contexto que o XSS. É a abreviação de Cross-Site Request Forgery, um ataque – como o XSS – que tem como alvo o navegador de um usuário. A principal diferença é que o CSRF usa uma sessão autenticada para o usuário (talvez ele esteja logado em sua conta bancária), enquanto o XSS não precisa de uma sessão autenticada para ser eficaz.

Digamos que um usuário esteja conectado ao Twitter e a um banco de internet ao mesmo tempo e clique em um link do Twitter parecido com este:

http://www.yourbank.com/sendmoney,do?from=you&to=attacker&amount=5000

Dependendo da maneira como seu banco gerencia os tokens de sessão e o navegador que você está usando, eles podem ficar muito mais pobres de repente. XSS é um vetor de ataque mais perigoso, mas é importante se defender contra XSS e CSRF. O OWASP preparou uma ficha informativa sobre medidas de proteção contra CSRF.

Ataques XSS recentes e infames

Um dos mais antigos e famosos ataques de cross-site scripting ocorreu em 2005, quando o usuário empreendedor do MySpace Sammy Kamkar percebeu que poderia inserir código JavaScript em seu perfil que autenticaria automaticamente qualquer pessoa que visitasse o site – e também copiar esse código para os perfis de seu novos amigos, Graças a isso, todos que visitarem estas páginas também serão seus amigos. (O roteiro garantiu que cada um dos novos amigos de Kamkar chegasse ao “top oito” – temos medo de entender isso, você teria que estar lá, mas acredite, isso importava.) Em 24 horas, ele fez mais de um milhão de amigos e forçou o MySpace a fechar o site inteiro por um curto período de tempo.

Acontece que o chamado worm Sami é praticamente inofensivo. No entanto, outros foram mais irritantes:

• O Ebay teve vulnerabilidades XSS por anos que permitiram que hackers roubassem credenciais de login do usuário

• Os atacantes XSS conseguiram roubar V-Bucks dos jogadores do Fortnite em 2019.

• O grupo de hackers Magecart atacou a British Airways em 2018 com um ataque XSS, roubando centenas de milhares de identidades de usuários

E o script entre sites continua sendo uma séria ameaça hoje. A partir de 2021, vulnerabilidades XSS foram encontradas na plataforma de e-mail Zimbra, Wordpress e na plataforma de gerenciamento de TI de código aberto Nagios. Lembre-se de que os hackers geralmente não usam técnicas de ataque isoladamente: o script entre sites é um componente de uma forma complexa recentemente descoberta do ataque curinga TLS conhecido como ALPACA. Para evitar ameaças perigosas, certifique-se de fechar as vulnerabilidades XSS.

Fonte: CSO

.

Assista também

Elon Musk fornece serviço Starlink na Ucrânia gratuitamente

Foto de MR.abdulkader MR.abdulkader
99

Artigos relacionados

493ucx,ag493ucx,aoc 493ucx,ag493ucx2,aoc ag493ucx,ag493ucx kvm,aoc ag493ucx2,ag493ucx price,aoc ag493ucx 49,ag493ucx greek,model ag493ucx,aoc ag493ucx kvm,ag493ucx vs crg9,aoc ag493ucx pbp,ag493ucx review,aoc agon ag493ucx,aoc ag493ucx 120hz,ag493ucx ελληνικό,aoc ag493ucx g sync,ag493ucx unboxing,aoc ag493ucx review,aoc ag493ucx gaming,aoc ag493ucx rtings,aoc ag493ucx reveiw,agon ag493ucx review,aoc ag493ucx 49 review,techteamgb,tech teamgb,gb,tech,tech team gb,144hz,1440p,aoc,aoc cq27g1 1440p 144hz gaming monitor review,review,best cheap 1440p 144hz monitor,best 144hz gaming monitor,best 144hz monitor,144hz monitor,1440p 144hz,aoc ultrawide,144hz 1440p gaming monitor,aoc cu34g2x review,144hz 1440p,144hz gaming monitor,1440p ultrawide,aoc cu34g2x gaming review,aoc cu34g2x monitor review,1440p 144hz ultrawide monitor,best 1440p 144hz ultrawide monitor

Através do Olho de Pangrys – AOC AGON AG493UCX Monitor Enorme

03/04/2022
أرقام قياسية منتخبات,نتائج المباريات,أكبر نتائج,فرق حققت الثلاثية,نتائج إعمار,أرقام قياسية دولية,أرقام قياسية في كرة القدم,سياسة,أكبر نتائج المنتخبات العربية,أرقام قياسية للاعبين والاندية,نتائج مذلة في كرة القدم,اكبر النتائج في دوري الابطال,أقوى الأرقام القياسية في تاريخ كرة القدم,مباريات إنتهت بنتائج فاضحة و صادمة,اكبر النتائج في كرة القدم,7 أندية أوروبية فقط حققت الثلاثية التاريخية,نتائج كبيرة في مباريات كرة القدم عبر التاريخ,record cleaning machines,results,record,cellulite reduction results,record breaking,what should i wear to a pre recorded video interview,pre recorded video interview tips,cavitation-based record cleaning systems,pre recorded video interview civil service,what is a pre recorded video interview,how do you record a video interview,what questions are asked in a pre recorded interview,how do you stand out in a recorded video interview

Asecco alcançou resultados recordes

25/03/2022
how to cancel spotify premium on iphone,habits that will change your life,dua lipa google interview,why do real estate agents have a bad reputation,how to sell your music on spotify,google,dua lipa interview google,dua lipa google,google home mini,google assistant,google home mini 2,google one storage,cancel spotify premium account android,how to cancel spotify premium subscription,this is exactly why real estate agents have a bad reputation,google product,spotify,الربح من اليوتيوب,الربح من الانترنت,الربح من الانترنت في تونس,احترف المونتاج من الهاتف,الربح من الانترنت للمبتدئين,الربح من الانترنت في تونس 2021,الربح من الانترنت للمبتدئين 2021,استرجاع الصور المحذوفة من الاندرويد,من الداخل,ايجابيات و سلبيات,طرق الربح من الانترنت,sound cloud شرح تفصيلي لواحد من افضل برامج سماع الموسيقي و الاغاني,الربح من الانترنت 2021,كيفية الربح من الانترنت,استرجاع تخزينات من فلاش usb,كلمات,الربح من الانترنت باسهل الطرق

O Google e o Spotify chegaram a um acordo sobre uma forma de pagamento alternativa que o Google Play aceitará

25/03/2022
الجيش الإسرائيلي,منارات العلوم,تحت الجسم,حوت العلوم,منارة العلوم,حل كتاب الاجتماعيات الصف الأول الثانوي,علوم الصف الاول المتوسط,علوم الصف القاني المتوسط,علوم الصف الثالث المتوسط,احياء الصف الاول الثانوي,القيادة الوسطى الأمريكية,احياء الصف الثاني الثانوي,احياء الصف الثالث الثانوي,وزارة التعليم,النيابة العامة,قصف على الحدود,نظام المقررات,الاهلي والمريخ,شرح مادة الاحياء,حزب الله,حل كتاب الاجتماعيات الصف الأول الثانوي مقررات كاملا مع أرقام الصفحات,hardware security,a new golden age for computer architecture,side channel attack,cyber attack,whats happening in cybersecurity,intel,secure hardware,falha de hardware,intel spectre,hardware,intel chip kernal security flaw,security attack,intel chip security flaw,linux on the desktop,attack,intel amt,intel chip,queda em processamento,falha nos processadores,electrical interference,processadores,enterprise linux security,threat intelligence analyst

O novo ataque ignora os mecanismos de defesa de hardware contra o buraco Spectre nos processadores Intel e ARM

21/03/2022
Botão Voltar ao topo