O documento discute o ataque de injeção de script entre sites (XSS), explicando que ele insere JavaScript malicioso na página para roubar informações ou assumir o controle da sessão do usuário. Ele também fornece dicas para prevenir esses ataques, como substituir caracteres especiais antes de exibir dados do usuário e tratar sempre a entrada do usuário antes de usá-la.

1. XSS
<script>alert(‘Cross site scripting’);</script>
@nbluis
http://about.me/nbluis
Friday, June 14, 13

2. O que é ?
• Tipo de ataque a um web site
• Injeção de javascript malicioso
• Na lista dos 3 ataques mais utilizados na
internet
Friday, June 14, 13

3. For dummies
Friday, June 14, 13

4. Ahh, mas é client side
Friday, June 14, 13

5. Possibilidades
• Scanear a rede interna do cliente
• Sequestro de sessão (session hijacking)
• Key logger
• Controle total da página (DOM, Scripts,
etc)
Friday, June 14, 13

6. Friday, June 14, 13

7. E como evitamos ?
• Replace antes de salvar....
• param.replaceAll(‘<’,‘&lt;’);
• param.replaceAll(‘>’,‘&gt;’);
Friday, June 14, 13

8. Friday, June 14, 13

9. E como evitamos ?
• Nunca se modifica a informação do usuário
• Sempre tratamos antes de apresentar
• O critério de encode depende de onde
será apresentado
Friday, June 14, 13

10. Mas isso é difícil
Friday, June 14, 13

11. Friday, June 14, 13