Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
XSS
<script>alert(‘Cross site scripting’);</script>
@nbluis
http://about.me/nbluis
Friday, June 14, 13
O que é ?
• Tipo de ataque a um web site
• Injeção de javascript malicioso
• Na lista dos 3 ataques mais utilizados na
int...
For dummies
Friday, June 14, 13
Ahh, mas é client side
Friday, June 14, 13
Possibilidades
• Scanear a rede interna do cliente
• Sequestro de sessão (session hijacking)
• Key logger
• Controle total...
Friday, June 14, 13
E como evitamos ?
• Replace antes de salvar....
• param.replaceAll(‘<’,‘&lt;’);
• param.replaceAll(‘>’,‘&gt;’);
Friday, Ju...
Friday, June 14, 13
E como evitamos ?
• Nunca se modifica a informação do usuário
• Sempre tratamos antes de apresentar
• O critério de encode ...
Mas isso é difícil
Friday, June 14, 13
Friday, June 14, 13
Upcoming SlideShare
Loading in …5
×

of

XSS (Cross site scripting) Slide 1 XSS (Cross site scripting) Slide 2 XSS (Cross site scripting) Slide 3 XSS (Cross site scripting) Slide 4 XSS (Cross site scripting) Slide 5 XSS (Cross site scripting) Slide 6 XSS (Cross site scripting) Slide 7 XSS (Cross site scripting) Slide 8 XSS (Cross site scripting) Slide 9 XSS (Cross site scripting) Slide 10 XSS (Cross site scripting) Slide 11
Upcoming SlideShare
Cross Site Scripting - XSS
Next

1 Like

Share

XSS (Cross site scripting)

Apresentação realizada no uMov.me Summit sobre XSS.

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

XSS (Cross site scripting)

  1. 1. XSS <script>alert(‘Cross site scripting’);</script> @nbluis http://about.me/nbluis Friday, June 14, 13
  2. 2. O que é ? • Tipo de ataque a um web site • Injeção de javascript malicioso • Na lista dos 3 ataques mais utilizados na internet Friday, June 14, 13
  3. 3. For dummies Friday, June 14, 13
  4. 4. Ahh, mas é client side Friday, June 14, 13
  5. 5. Possibilidades • Scanear a rede interna do cliente • Sequestro de sessão (session hijacking) • Key logger • Controle total da página (DOM, Scripts, etc) Friday, June 14, 13
  6. 6. Friday, June 14, 13
  7. 7. E como evitamos ? • Replace antes de salvar.... • param.replaceAll(‘<’,‘&lt;’); • param.replaceAll(‘>’,‘&gt;’); Friday, June 14, 13
  8. 8. Friday, June 14, 13
  9. 9. E como evitamos ? • Nunca se modifica a informação do usuário • Sempre tratamos antes de apresentar • O critério de encode depende de onde será apresentado Friday, June 14, 13
  10. 10. Mas isso é difícil Friday, June 14, 13
  11. 11. Friday, June 14, 13
  • RobsonBittencourt1

    Jun. 18, 2013

Apresentação realizada no uMov.me Summit sobre XSS.

Views

Total views

769

On Slideshare

0

From embeds

0

Number of embeds

2

Actions

Downloads

0

Shares

0

Comments

0

Likes

1

×