You are on page 1of 1

Metodologia, Tcnicas e Ferramentas para testes de Intruso em servidordores

INTRODUO A TESTING FOR STORED CROSS SITE SCRIPTING Ataques de Cross-site scripting (XSS) baseia-se em vulnerabilidade causada por falha nas validaes dos parmetros de entrada do usurio e resposta do servidor na aplicao web, e atravs deste vem a permitir que um cdigo HTML seja inserido de maneira indesejada no navegador do usurio alvo. Este problema aparece normalmente quando um parmetro de entrada do usurio integralmente apresentado pelo navegador, tendo como exemplo um cdigo javascript interpretado como parte da aplicao genuna e com acesso a todas as entidades do documento. Isso acontece devido o ataque em executar instruo no navegador da vtima utilizando-se de um aplicativo web vulnervel, vindo a modificar estruturas do HTML, e caso este aplicativo no venha a filtrar corretamente esses cdigos, um usurio mal intencionado pode injetar instrues para leitura de informaes especficas do usurio genuno, tais como cdigos de sesso, e at mesmo executar tarefas especficas como enviar mensagens de maneira indesejada. Dentre outros casos, o navegador afetado pode at mesmo comportar-se como se estivesse infectado por um worm, replicando cpias para cada usurio que execute o cdigo mal intencionado. Existem tambm exemplos de ataque que podem incluir a substituio dos links vlidos do aplicativo web por uma referncia a um arquivo executvel que contenha um vrus ou um cavalo de Tria. As principais consequncias para o usurio afetado esto em sequestro de sesso de usurios, alterao do cdigo HTML do aplicativo (visvel somente do lado do cliente), redirecionarem o usurio para sites maliciosos, alterao do objeto DOM para captura de dados ou envio de malware. Contudo para assegurar que as entradas de dados do usurio so confiveis, os dados de usurio a serem utilizados para construo do contexto HTML, devem ser verificados, garantindo que no contenham nenhum contedo ativo como, por exemplo, (JavaScript, ActiveX, Flash, Silverlight, etc), sendo os mesmos codificados de maneira apropriada. De outra forma, os ataques de XSS tambm podem ser evitados com implementao de um filtro de aplicaes web, mais conhecido como Web Application Firewall, alm de tambm de mecanismos de preveno que esto embutidos em navegadores modernos.