Uma ferramenta adaptativa para detecção de ataques Cross-Site Scripting no lado do cliente
Resumo
Este artigo propõe uma ferramenta para detecção de ataques do tipo Cross-site Scripting (XSS) que é executada diretamente no lado do cliente e usa técnicas de inteligência artificial. A ferramenta é implementada como uma extensão de um navegador Web e combina engenharia de atributos, vetorização textual e o algoritmo Random Forest, resultando em um modelo robusto capaz de identificar padrões maliciosos com baixo tempo de resposta e alta acurácia. O modelo usado pela ferramenta é treinado e avaliado com um conjunto de dados construído neste artigo a partir de coletas de tráfego real e cargas úteis (payloads) públicas compostas de diferentes tipos de ataques XSS. Por operar no lado do cliente, a ferramenta permite o retreinamento e a adaptação do modelo ao perfil de navegação do usuário por meio da captura de tráfego HTTP, o que contribui para a redução significativa de falsos positivos. Os resultados obtidos com a ferramenta superam 99% nas principais métricas de desempenho comprovando a viabilidade da ferramenta proposta para a proteção de usuários contra ataques XSS.
Referências
Gallagher, B. e Eliassi-Rad, T. (2009). Classification of http attacks: a study on the ecml/pkdd 2007 discovery challenge. Relatório técnico, Lawrence Livermore National Lab.(LLNL), Livermore, CA (United States).
Kulkarni, A. D. e Lowe, B. (2016). Random forest algorithm for land cover classification.
Kumar, J. H. e Ponsam, J. G. (2023). Cross site scripting (xss) vulnerability detection using machine learning and statistical analysis. Em 2023 International Conference on Computer Communication and Informatics (ICCCI), p. 1–9. IEEE.
Lekies, S., Stock, B. e Johns, M. (2013). 25 million flows later: large-scale detection of dom-based xss. Em Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security, p. 1193–1204.
Liu, M., Zhang, B., Chen, W. e Zhang, X. (2019). A survey of exploitation and detection methods of xss vulnerabilities. IEEE access, 7:182004–182016.
Melicher, W., Das, A., Sharif, M., Bauer, L. e Jia, L. (2018). Riding out domsday: Towards detecting and preventing dom cross-site scripting. Em 2018 Network and Distributed System Security Symposium (NDSS).
Melicher, W., Fung, C., Bauer, L. e Jia, L. (2021). Towards a lightweight, hybrid approach for detecting dom xss vulnerabilities with machine learning. Em Proceedings of the Web Conference 2021, p. 2684–2695.
Mozilla Foundation (2025). Módulos JavaScript. Accessed: 2025-06-06.
Oshoiribhor, E. e John-Otumu, A. (2025). Xss-net: An intelligent machine learning model for detecting cross-site scripting (xss) attack in web application. Mach. Learn. Res, 10:14–24.
OWASP Foundation (2021a). OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks. Accessed: 2025-06-10.
OWASP Foundation (2021b). OWASP Top 10 - 2025: The Ten Most Critical Web Application Security Risks. Accessed: 2026-02-03.
Prasetio, D. A., Kusrini, K. e Arief, M. R. (2021). Cross-site scripting attack detection using machine learning with hybrid features. Jurnal Infotel, 13(1):1–6.
Qin, Q., Li, Y., Mi, Y., Shen, J., Wu, K. e Wang, Z. (2024). Detecting xss with random forest and multi-channel feature extraction. Computers, Materials & Continua, 80(1).
Sarmah, U., Bhattacharyya, D. e Kalita, J. K. (2018). A survey of detection methods for xss attacks. Journal of Network and Computer Applications, 118:113–143.
Thajeel, I. K., Samsudin, K., Hashim, S. J. e Hashim, F. (2023). Machine and deep learning-based xss detection approaches: a systematic literature review. Journal of King Saud University-Computer and Information Sciences, 35(7):101628.
İsmail Taşdelen (2024). Cross site scripting (xss) vulnerability payload list. [link]. Acesso em: 06 maio 2025.
