Olá galera, Tudo Certo?

Algo bacana a se falar sobre Cross Site Script, é que mesmo sendo um ataque de médio porte por URL “GET”, ele realmente pode causar uma enorme “mancha” no site da empresa, principalmente se ela for relacionada a Segurança de dados, e dependendo do nível da exploração do atacante, torna-se de alto nível “GET” ou “POST”.

Porém, mesmo o ataque sendo de intensidade mediana, é possível a captura de IP, sessions e informações importantes de vitimas, e dependo do caso, até uma possível intrusão pode ocorrer.

Em um análise de vulnerabilidade em geral, deve se levar em conta a elaboração de idéias que um atacante possa ter, e desta maneira seguir o possíveis caminhos que seriam explorados por ele.

Algumas medidas preventivas que podem ser adotadas:

*Codificar com htmlspecialchars().

*Utilização de bibliotecas e funcionalidades de segurança em frameworks de desenvolvimento.

*Limpeza de variáveis, criando filtros.

Obs.: Já houve casos de roubo de dados de e-mail, como o da Yahoo, há algum tempo, entre outros casos interessantes que ocorrerem com esse tipo de falha.

Abraço a todos.

 

Rodolfo

Rodolfo

Rodolfo Cr é Engenheiro da Computação, especialista em Pentester em aplicações e Proteção em Servidores Linux e programador em algumas Linguagens. Membro da Roothc com intuito de divulgar e acrescentar conhecimento na área da computação com foco em segurança da informação.
Rodolfo

Latest posts by Rodolfo (see all)