You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Javascript é a espinha dorsal de muitas aplicações web modernas, tornando a segurança em JavaScript de vital importância. Sem uma segurança robusta, aplicações estão expostas a várias ameaças, desde ataques de injeção de código até o vazamento de dados sensíveis dos usuários. Além de potenciais perdas financeiras, a falta de segurança pode danificar a reputação de uma marca e levar a implicações legais graves. Dessa forma, proteger suas aplicações JavaScript não é apenas uma boa prática de desenvolvimento, mas uma necessidade comercial e legal.
🐼: Induzindo usuários a realizar ações não intencionadas
XSS
As falhas de XSS ocorrem sempre que uma aplicação inclui dados não-confiáveis numa nova página web sem a validação ou filtragem apropriadas, ou quando atualiza uma página web existente com dados enviados por um utilizador através de uma API do browser que possa criar JavaScript. O XSS permite que atacantes possam executar scripts no browser da vítima, os quais podem raptar sessões do utilizador, descaraterizar sites web ou redirecionar o utilizador para sites maliciosos.
Reflected XSS
Esse é o tipo mais comum de ataque XSS. Nele, o script malicioso é parte da solicitação HTTP feita ao site. Quando a página web responde, ela inclui esse script na resposta. Um exemplo comum é o script inserido na URL da página.
Stored XSS
Também conhecido como XSS persistente, é o tipo mais perigoso de ataque XSS. Nesse caso, o script malicioso é enviado para o servidor (geralmente através de um formulário) e armazenado lá. Quando outras páginas recuperam e exibem esse dado, o script é enviado ao navegador do usuário.
DOM XSS
Neste tipo, o script malicioso manipula o Document Object Model (DOM) de uma página web. Acontece quando um script client-side escreve dados fornecidos pelo usuário no DOM.
Uma vulnerabilidade de sessão ocorre quando um atacante é capaz de sequestrar a sessão do usuário para assumir a identidade do usuário, explorando as falhas na forma como a aplicação gerencia as sessões.