Uma vulnerabilidade muito simples encontrada em sites Web. O XSS permite que o invasor execute um código mal-intencionado no site. Aqui estou compartilhando o guia completo para scripts XSS entre sites. Existem alguns tipos de ataques XSS, vou escrever sobre os 3 principais deles. A vulnerabilidade do XSS permite que o invasor injete algum código nos aplicativos da Web afetados, a fim de contornar o acesso de segurança ao site ou interceptar as informações do usuário e o roubo de cookies. Essa técnica pode ser usada para muitos propósitos, como roubo de cookies, invasão de sites, manipulação de usuários e muito mais coisas que o invasor pode usar.
GUIA COMPLETO PARA XSS CROSS SITE SCRIPTING
Existem 3 tipos principais de scripts XSS entre sites, comumente denominados como:
- Ataque XSS não persistente
- Ataque XSS persistente
- Ataque XSS baseado em DOM
ATAQUE XSS NÃO PERSISTENTE
Os XSS não persistentes são, na verdade, as vulnerabilidades mais comuns que podem ser encontradas na Internet usadas para hackers. É comumente chamado de “não persistente” porque funciona em uma resposta HTTP imediata do site da vítima. Ele aparece quando a página da Web obtém os dados fornecidos pelo cliente do invasor para gerar automaticamente uma página de resultados para os próprios invasores. Com base nisso, o invasor poderia fornecer algum código malicioso e tentar fazer com que o servidor o executasse para obter algum resultado.
A aplicação mais comum desse tipo de vulnerabilidade na caixa de pesquisa do site, o invasor escreve algum código HTML arbitrário na caixa de pesquisa e, se o site estiver vulnerável, a página de resultados retornará o resultado dessas entidades HTML.
Leia Também: COMO HACKEAR COM XSS CROSS SITE SCRIPTING?
ATAQUE XSS PERSISTENTE
As vulnerabilidades persistentes do XSS são semelhantes ao XSS não persistente, porque ambos funcionam em um site de vítima e tentam roubar informações do usuário. A única diferença em ambos é que os sites vulneráveis ao XSS Persistente o invasor não precisa fornecer a URL criada para os usuários, porque o próprio site permite que os usuários insiram dados fixos no sistema como caixas de comentários. Normalmente, os usuários usam esse tipo de ferramenta para deixar mensagens para o proprietário do site e, à primeira vista, isso não parece ser algo perigoso, mas se um invasor descobrir que o sistema está vulnerável, poderá inserir um código mal-intencionado em sua mensagem e deixar TODOS os visitantes são vítimas disso.
Isso funciona quando a técnica funciona quando o sistema que usamos para esse ataque não verifica o conteúdo da mensagem inserida: ele apenas insere os dados fornecidos pelo usuário na página de resultados.
ATAQUE XSS BASEADO EM DOM
O script entre sites baseado em DOM permite que um invasor trabalhe não em um site da vítima, mas em uma máquina local de vítima: o sistema operacional geralmente inclui “desde o nascimento” algumas páginas HTML criadas para diferentes objetivos, mas desde que os humanos cometer erros muitas vezes, essas páginas HTML podem ser exploradas devido a vulnerabilidades de código.
O XSS baseado em DOM explora esses problemas nas máquinas locais dos usuários desta maneira:
- O invasor cria um site mal-intencionado bem construído
- O usuário engenhoso abre esse site
- O usuário tem uma página vulnerável em sua máquina
- O site do invasor envia comandos para a página HTML vulnerável
- A página local vulnerável executa esses comandos com privilégios do usuário essa máquina.
- O invasor ganha facilmente o controle no computador da vítima.
- O usuário engenhoso abre esse site
- O usuário tem uma página vulnerável em sua máquina
- O site do invasor envia comandos para a página HTML vulnerável
- A página local vulnerável executa esses comandos com privilégios do usuário essa máquina.
- O invasor ganha facilmente o controle no computador da vítima.
Este é o único guia completo para o script entre sites XSS. Isso não obedece a nenhum tipo de demonstração de ataque. Você pode seguir os métodos de invasão do XSS e como hackear o XSS neste artigo.