Ataque 2 – XSS Script

Postado em Atualizado em

xss-threat3Descrição:
Consiste no atacante explorar o sistema de entrada de informações da solução enviando comandos maliciosos de HTML, DHTML e JavaScript para serem executados nos navegadores.

Riscos:
Sequestro do identificador da sessão autenticada e consequentemente acesso ao sistema como se fosse o usuário autenticado e indisponibilidade da solução.

Solução:
Usar uma política de validação sistemática voltada a tipo de dados que expresse tamanho, formato e intervalo. Use expressão regular para validar:

  • campos de tipos de dados.
  • whitelist de caracteres permitidos na validar campos textos puros.

Todas as informações do banco de dados devem renderizados nas páginas como “texto puro” e não como tecnologias de apresentação, uma vez que outros sistemas legados que também acessem o mesmo banco podem ter e essa vulnerabilidade.
Configurar especificação do cookies HttpOnly, inibindo o sequestro do identificador de sessão.

Para todas as informações, veja o post inicial.

“Nisto consiste o amor: não em que nós tenhamos amado a Deus, mas em que ele nos amou e enviou o seu Filho como propiciação pelos nossos pecados.” 1 João 4:10

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s