Cross-site scripting: diferenças entre revisões
Conteúdo apagado Conteúdo adicionado
Apenas um erro de escrita da palavra "Hacker" no ultimo link na secção "Ligações externas" |
|||
Linha 41:
Exemplo de XSS baseados em DOM: Antes que o ''[[bug]]'' fosse resolvido, páginas de erro Bugzilla estavam abertas a ataques XSS baseados em DOM em que HTML arbitrários e scripts poderiam ser injetados através de mensagens de erro forçados.
== '''Proteção''' ==
Apesar de várias ocorrências de XSS e das diferentes formas de exploração, impedir a própria vulnerabilidade é conceitualmente simples. O que a torna problemática na prática é a dificuldade de identificar todos os campos da aplicação onde há dados manipulados pelo usuário e que serão posteriormente exibidos em tela. A causa do XSS refletido e persistente é que estes dados são inseridos em respostas da aplicação sem validação. Para eliminar tais vulnerabilidades, o primeiro passo é identificar todas as instâncias dentro da aplicação em que os dados são colocados nas respostas das requisições. Uma vez identificados os locais destes dados, é necessário realizar os seguintes procedimentos:
* Validação de Entrada
| |||