Skip to main content

Scripts entre sites (XSS)

Erro relacionado

Este servidor é vulnerável a um ataque de script entre sites. Certifique-se de que os dados do lado do cliente (JavaScript) estejam seguros e validados."

Problema

Cross-site scripting é um ataque da Web a aplicativos da Web vulneráveis usando JavaScript. O conteúdo malicioso é entregue a usuários habilitados para JavaScript por meio de uma fonte não segura ou não confiável, compondo os dados em um coletor perigoso dentro do Document Object Model (DOM) em vez de em HTML que apresenta um XSS regular.

Os ataques XSS acontecem quando os dados de entrada para um aplicativo da web não são validados e os dados de saída para o navegador não são codificados em HTML.

Quando os ataques XSS são bem-sucedidos, os invasores podem:

  • Invadir uma conta.

  • Espalhar worms da web.

  • Acessar o histórico do navegador e o conteúdo da área de transferência.

  • Controlar o navegador remotamente.

  • Fazer a verificação e explorar dispositivos e aplicativos de intranet.

Solução

Para identificar e evitar erros de XSS em aplicativos da web:

  1. Validar os dados inseridos pelos navegadores do usuário no aplicativo da web.

  2. Codificar todas as saídas para navegadores do usuário a partir do aplicativo da web.

  3. Dar aos usuários a capacidade de desabilitar scripts do lado do cliente.