Cross-site scripting: diferenças entre revisões
Conteúdo apagado Conteúdo adicionado
→Ataque: Adicionei uns tópicos do invasor que envia um script para o servidor até uma nota explicando o XSS Auditor sendo habilitado para sites vulneráveis no artigo. |
|||
Linha 8:
Imaginem que o cracker insira em um fórum de um website alvo de ataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo, simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene.
Quando o texto do fórum for apresentado a outros usuários, um site atacado pelo XSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outros usuários, provocando a brecha de ataque.
O invasor envia um script para o servidor:<script>malicious.js... = SYN onde o servidor recebe o script e interpreta uma nova página inserindo o código como resposta da requisição ao atacante = SYN/ACK.
Por fim o atacante recebe a resposta em seu browser = ACK
'''Nota:''' Se você estiver usando plugins/extensões em seu navegador como: NoScript ou o Google chrome com o "XSS Auditor" habilitado, os ataques de Cross Site Sprinting em sites que estejam vulneráveis não irão funcionar.
== Proteção ==
| |||