O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
XSS<script>alert(‘Cross site scripting’);</script>@nbluishttp://about.me/nbluisFriday, June 14, 13
O que é ?• Tipo de ataque a um web site• Injeção de javascript malicioso• Na lista dos 3 ataques mais utilizados nainterne...
For dummiesFriday, June 14, 13
Ahh, mas é client sideFriday, June 14, 13
Possibilidades• Scanear a rede interna do cliente• Sequestro de sessão (session hijacking)• Key logger• Controle total da ...
Friday, June 14, 13
E como evitamos ?• Replace antes de salvar....• param.replaceAll(‘<’,‘&lt;’);• param.replaceAll(‘>’,‘&gt;’);Friday, June 1...
Friday, June 14, 13
E como evitamos ?• Nunca se modifica a informação do usuário• Sempre tratamos antes de apresentar• O critério de encode dep...
Mas isso é difícilFriday, June 14, 13
Friday, June 14, 13
Próximos SlideShares
Carregando em…5
×

XSS (Cross site scripting)

713 visualizações

Publicada em

Apresentação realizada no uMov.me Summit sobre XSS.

Publicada em: Tecnologia
  • Entre para ver os comentários

XSS (Cross site scripting)

  1. 1. XSS<script>alert(‘Cross site scripting’);</script>@nbluishttp://about.me/nbluisFriday, June 14, 13
  2. 2. O que é ?• Tipo de ataque a um web site• Injeção de javascript malicioso• Na lista dos 3 ataques mais utilizados nainternetFriday, June 14, 13
  3. 3. For dummiesFriday, June 14, 13
  4. 4. Ahh, mas é client sideFriday, June 14, 13
  5. 5. Possibilidades• Scanear a rede interna do cliente• Sequestro de sessão (session hijacking)• Key logger• Controle total da página (DOM, Scripts,etc)Friday, June 14, 13
  6. 6. Friday, June 14, 13
  7. 7. E como evitamos ?• Replace antes de salvar....• param.replaceAll(‘<’,‘&lt;’);• param.replaceAll(‘>’,‘&gt;’);Friday, June 14, 13
  8. 8. Friday, June 14, 13
  9. 9. E como evitamos ?• Nunca se modifica a informação do usuário• Sempre tratamos antes de apresentar• O critério de encode depende de ondeserá apresentadoFriday, June 14, 13
  10. 10. Mas isso é difícilFriday, June 14, 13
  11. 11. Friday, June 14, 13

×