WhiteHats

O Cross-Site Scripting (XSS) é um tipo de vulnerabilidade em aplicações web que permite a injeção de scripts maliciosos em páginas vistas por outros usuários. Isso pode levar ao roubo de dados, redirecionamento para sites falsos, execução de comandos indesejados e outras formas de exploração.

 

Como funciona o XSS:

 

O atacante injeta código JavaScript malicioso em um site vulnerável. Quando um usuário acessa essa página, o script é executado no navegador da vítima.

 

Principais tipos de XSS

 

Stored XSS (Persistente)

 

O script malicioso é armazenado permanentemente no banco de dados da aplicação.
Exemplo: Comentários em um blog ou fóruns que contêm código malicioso e são exibidos para outros usuários.

 

Reflected XSS (Não persistente)

 

O script é inserido em uma URL e executado quando a vítima acessa o link.
Exemplo:

Um e-mail de phishing com um link malicioso:
Se o site não validar a entrada, o alerta será executado ao acessar a URL.

 

DOM-Based XSS

 

O ataque acontece no lado do cliente, manipulando o DOM sem passar pelo servidor.
Exemplo: Se uma aplicação usa document.write() para exibir parâmetros da URL sem validar a entrada

 

Como prevenir XSS

 

Escape de saída: Use funções como htmlspecialchars() no PHP ou encodeURIComponent() no JavaScript para evitar que tags HTML sejam interpretadas.
Content Security Policy (CSP): Impede a execução de scripts não autorizados.
Sanitização de entrada: Remova ou valide entradas do usuário antes de processá-las.
Evite eval() e innerHTML: Prefira textContent e innerText para manipulação segura do DOM.