Exploração De Vulnerabilidades Cross-Site Scripting: Uma Análise Das Principais Técnicas De Ataques XSS
Resumo
Neste artigo, busca-se analisar técnicas de ataque com XSS, demonstrando esses ataques no ambiente de testes bWAPP, por meio dos principais payloads encontrados no Projeto OWASP. Apresentam-se também critérios para mitigar e corrigir as falhas encontradas. O método de ataque Cross-Site Scripting (XSS) é uma das vulnerabilidades frequentemente encontradas em aplicações web, uma vez que, permitem a injeção de scripts maliciosos que quando executados, podem acarretar graves problemas, como o sequestro de sessão e redirecionamento para sites maliciosos.
Palavras-chave:
Segurança da Informação, Injeção de código, JavaScript, Vulnerabilidades
Referências
ACUNETIX. Acunetix Web Application Vulnerability Report 2020. Disponível em: [link]. Acesso em: 15.mai.2021.
BEAL, Adriana. Conceitos e Princípios Básicos da Informação. Segurança da Informação. São Paulo: Atlas, 2005.
BRASIL. Decreto-Lei n. 2.848, de 7 de dezembro de 1940. Decreta a lei do Código Penal. Rio de Janeiro, 7 de dezembro de 1940. Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto-lei/del2848.htm>. Acesso em 15.jun.2021
DADARIO, Anderson. Anderson Dadario. XSS - Guia explicativo, 2012. Disponível em <https://dadario.com.br/xss-guia-explicativo/>. Acesso em 15.jun.2021.
ENDLER, David. The Evolution of Cross-Site Scripting Attacks. Technical Report, iDEFENSE Inc., 2002.
ERIKSSON, Birger. Wikimedia Commons. DOM-model, 2012. Disponível em: <https://commons.wikimedia.org/wiki/File:DOM-model.svg>. Acesso em: 26.jun.2021.
GIACOBBI, Giovanni. Netcat. The GNU Netcat project, 2006. Disponível em: <http://netcat.sourceforge.net/>. Acesso em: 16. jun.2021.
GROSSMAN J, HANSEN R, PETKOV P, RAGER A, FOGIE S (org.). Cross Site Scripting Attacks: XSS Exploits and Defense. United States of America: Elsevier, 2007. 482 p.
ILIC, J. Cross-Site Scripting (XSS) Makes Nearly 40% of All Cyber Attacks in 2019. Disponível em [link]. Acesso em: 29.jul.2021.
J. SILVA, Armando Gonçalves. Cross-Site Scripting: Uma Análise Prática. Universidade Federal de Pernambuco, 2009.
KIRSTEN, S. et al. OWASP. Cross Site Scripting (XSS). Disponível em: <https://owasp.org/www-community/attacks/xss/>. Acesso em: 15.jun.2021.
LUZ, H. J. F. Análise de Vulnerabilidades em Java Web Applications. Trabalho de Conclusão de Curso. 2011. Centro Universitário Eurípides de Marília, Fundação de Ensino Eurípides Soares da Rocha. Marília, São Paulo.
MARIANO, Marcio. Linux Force Security. Comandos Linux - Comando nc, 2019. Disponível em: <https://www.linuxforce.com.br/comandos-linux/comandos-linux-comando-nc/>. Acesso em: 20.jun.2021.
MEDEIROS, Higor. DevMedia | Plataforma para Programadores, Trabalhando com DOM em JavaScript, 2013. Disponível em: <https://www.devmedia.com.br/trabalhando-com-dom-em-javascript/29039>. Acesso em: 17.jun.2021.
MESELLEM, M. bWAPP - An extremely buggy web app. Disponível em <http://www.itsecgames.com/> Acesso em: 15.jun.2021.
MOZILLA DEVELOPER. Utilizando Políticas de Segurança de Conteúdo, 2021 Disponível em:<https://developer.mozilla.org/pt-BR/docs/Web/HTTP/CSP/> Acesso em: 15.jun.2021.
OWASP. Cross Site Scripting (XSS). Disponível em: <https://owasp.org/www-community/attacks/xss/> Acesso em: 01.jun.2021a.
OWASP. Who is the OWASP® Foundation?. Disponível em <https://owasp.org/> Acesso em: 18.mai.2021b.
OWASP. DOM Based XSS. Disponível em: <https://owasp.org/www-community/attacks/DOM_Based_XSS/>. Acesso em: 18.mai.2021c.
OWASP. OWASP Top Ten. Disponível em: <https://owasp.org/www-project-top-ten/>. Acesso em: 18.mai.2021d.
PATIL, Kailas. An Insecure Wild Web: A Large-Scale Study Of Effectiveness Of Web Security Mechanisms. Vishwakarma Institute of Information Technology, Pune, 2017.
PORTSWIGGER. Cross-site scripting, 2021. Disponível em <https://portswigger.net/web-security/cross-site-scripting>. Acesso em 09.jun.2021.
RHODES-OUSLEY, M. Information Security The Complete Reference. 2th. The McGrawHill Companies, 2013. 833.
REDE SEGURA. O Ataque Cross-Site Scripting (XSS). 2012. Disponível em: [link]. Acesso em: 26.jun.2021.
SANTOS, Josiel. O que é HTTP Content-Security-Policy e como utilizar no PHP, 2020. Disponível em: [link]. Acesso em: 28.jun.2021.
SILVEIRA, Lucidia A. et al. Engenharia Social: Uma análise sobre o ataque de Phishing. Universidade Federal do Pamp, Rio Grande do Sul, 2007.
SINGH, M, SINGH, P, KUMAR, P. An Analytical Study on Cross-Site Scripting, 2020 International Conference on Computer Science, Engineering and Applications (ICCSEA), 2020, pp. 1-6, doi: 10.1109/ICCSEA49143.2020.9132894.
TAVARES, Pedro. Segurança Informática. A bíblia do Cross-site Scripting (XSS), 2014. Disponível em: <https://seguranca-informatica.pt/a-biblia-do-cross-site-scripting-xss/>. Acesso em: 02.jun.2021.
VOGT, Philipp. NENTWICH, Florian. JOVANOCIC, E. Kirda. KRUEGEL Chistopher. VIGNA, Giovanni. Cross-Site Scripting Prevention with Dynamic Data Tainting and Static Analysis. University of California, Santa Barbara, 2007.
WASLAWICK, R. Metodologia de pesquisa para Ciência da Computação. 6. ed. Rio de Janeiro: Elsevier, 2009.
BEAL, Adriana. Conceitos e Princípios Básicos da Informação. Segurança da Informação. São Paulo: Atlas, 2005.
BRASIL. Decreto-Lei n. 2.848, de 7 de dezembro de 1940. Decreta a lei do Código Penal. Rio de Janeiro, 7 de dezembro de 1940. Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto-lei/del2848.htm>. Acesso em 15.jun.2021
DADARIO, Anderson. Anderson Dadario. XSS - Guia explicativo, 2012. Disponível em <https://dadario.com.br/xss-guia-explicativo/>. Acesso em 15.jun.2021.
ENDLER, David. The Evolution of Cross-Site Scripting Attacks. Technical Report, iDEFENSE Inc., 2002.
ERIKSSON, Birger. Wikimedia Commons. DOM-model, 2012. Disponível em: <https://commons.wikimedia.org/wiki/File:DOM-model.svg>. Acesso em: 26.jun.2021.
GIACOBBI, Giovanni. Netcat. The GNU Netcat project, 2006. Disponível em: <http://netcat.sourceforge.net/>. Acesso em: 16. jun.2021.
GROSSMAN J, HANSEN R, PETKOV P, RAGER A, FOGIE S (org.). Cross Site Scripting Attacks: XSS Exploits and Defense. United States of America: Elsevier, 2007. 482 p.
ILIC, J. Cross-Site Scripting (XSS) Makes Nearly 40% of All Cyber Attacks in 2019. Disponível em [link]. Acesso em: 29.jul.2021.
J. SILVA, Armando Gonçalves. Cross-Site Scripting: Uma Análise Prática. Universidade Federal de Pernambuco, 2009.
KIRSTEN, S. et al. OWASP. Cross Site Scripting (XSS). Disponível em: <https://owasp.org/www-community/attacks/xss/>. Acesso em: 15.jun.2021.
LUZ, H. J. F. Análise de Vulnerabilidades em Java Web Applications. Trabalho de Conclusão de Curso. 2011. Centro Universitário Eurípides de Marília, Fundação de Ensino Eurípides Soares da Rocha. Marília, São Paulo.
MARIANO, Marcio. Linux Force Security. Comandos Linux - Comando nc, 2019. Disponível em: <https://www.linuxforce.com.br/comandos-linux/comandos-linux-comando-nc/>. Acesso em: 20.jun.2021.
MEDEIROS, Higor. DevMedia | Plataforma para Programadores, Trabalhando com DOM em JavaScript, 2013. Disponível em: <https://www.devmedia.com.br/trabalhando-com-dom-em-javascript/29039>. Acesso em: 17.jun.2021.
MESELLEM, M. bWAPP - An extremely buggy web app. Disponível em <http://www.itsecgames.com/> Acesso em: 15.jun.2021.
MOZILLA DEVELOPER. Utilizando Políticas de Segurança de Conteúdo, 2021 Disponível em:<https://developer.mozilla.org/pt-BR/docs/Web/HTTP/CSP/> Acesso em: 15.jun.2021.
OWASP. Cross Site Scripting (XSS). Disponível em: <https://owasp.org/www-community/attacks/xss/> Acesso em: 01.jun.2021a.
OWASP. Who is the OWASP® Foundation?. Disponível em <https://owasp.org/> Acesso em: 18.mai.2021b.
OWASP. DOM Based XSS. Disponível em: <https://owasp.org/www-community/attacks/DOM_Based_XSS/>. Acesso em: 18.mai.2021c.
OWASP. OWASP Top Ten. Disponível em: <https://owasp.org/www-project-top-ten/>. Acesso em: 18.mai.2021d.
PATIL, Kailas. An Insecure Wild Web: A Large-Scale Study Of Effectiveness Of Web Security Mechanisms. Vishwakarma Institute of Information Technology, Pune, 2017.
PORTSWIGGER. Cross-site scripting, 2021. Disponível em <https://portswigger.net/web-security/cross-site-scripting>. Acesso em 09.jun.2021.
RHODES-OUSLEY, M. Information Security The Complete Reference. 2th. The McGrawHill Companies, 2013. 833.
REDE SEGURA. O Ataque Cross-Site Scripting (XSS). 2012. Disponível em: [link]. Acesso em: 26.jun.2021.
SANTOS, Josiel. O que é HTTP Content-Security-Policy e como utilizar no PHP, 2020. Disponível em: [link]. Acesso em: 28.jun.2021.
SILVEIRA, Lucidia A. et al. Engenharia Social: Uma análise sobre o ataque de Phishing. Universidade Federal do Pamp, Rio Grande do Sul, 2007.
SINGH, M, SINGH, P, KUMAR, P. An Analytical Study on Cross-Site Scripting, 2020 International Conference on Computer Science, Engineering and Applications (ICCSEA), 2020, pp. 1-6, doi: 10.1109/ICCSEA49143.2020.9132894.
TAVARES, Pedro. Segurança Informática. A bíblia do Cross-site Scripting (XSS), 2014. Disponível em: <https://seguranca-informatica.pt/a-biblia-do-cross-site-scripting-xss/>. Acesso em: 02.jun.2021.
VOGT, Philipp. NENTWICH, Florian. JOVANOCIC, E. Kirda. KRUEGEL Chistopher. VIGNA, Giovanni. Cross-Site Scripting Prevention with Dynamic Data Tainting and Static Analysis. University of California, Santa Barbara, 2007.
WASLAWICK, R. Metodologia de pesquisa para Ciência da Computação. 6. ed. Rio de Janeiro: Elsevier, 2009.
Publicado
13/10/2021
Como Citar
GONÇALVES, Lucas Matheus; CAMENAR, Leticia Maria de Oliveira.
Exploração De Vulnerabilidades Cross-Site Scripting: Uma Análise Das Principais Técnicas De Ataques XSS. In: CONGRESSO LATINO-AMERICANO DE SOFTWARE LIVRE E TECNOLOGIAS ABERTAS (LATINOWARE), 18. , 2021, Online.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2021
.
p. 80-86.
DOI: https://doi.org/10.5753/latinoware.2021.19909.
