Meio Bit » Baú » Segurança » Hackers em ação: Exemplo de XSS

Hackers em ação: Exemplo de XSS

30/08/2006 às 20:14

O XSS, ou Cross Site Scripting é um método de ataque onde um site não filtra suficientemente os parâmetros que recebe dos browsers, tem seu funcionamento interno confundido e pode, se devidamente orientado, exibir conteúdo de outros sites sob a própria URL.

Em teoria um link de Microsoft.com acessado via uma técnica da XSS poderia exibir a página principal do Ubuntu.com, sem que nada fosse mexido nos servidores da Microsoft. Juridicamente isso sequer é considerado uma invasão, pois os seus scripts não estão criticando corretamente os dados recebidos.

Quanto batemos nos Padawans explicando a importância de incluir rotinas de crítica, é para evitar esse tipo de coisa. No Brasil não é uma técnica muito comum ainda, mas no resto da Internet ataque via XSS virou uma praga, pois é algo simples de fazer e não precisa de grandes conhecimentos arcanos.

Para ver um exemplo, este link aqui mostrará uma página da FoxNews com uma notícia falsa, alertando de ataques hackers. Só que embora o endereço comece com foxsports.foxnews.com o conteúdo não é, obviamente, verdadeiro.

Esse tipo de ataque pode ou não depender de browser. No exemplo acima Explorer E Firefox são igualmente afetados.

O perigo é que se esse tipo de bug for descoberto em sites de bancos e similares, muito mais gente vai cair nesses golpes que recebemos via email.

Fica a dica: Nunca clique em um link se for realmente importante. Prefira sempre digitar o endereço, ou usar seus bookmarks.


Fonte: Securilab

relacionados


Comentários