Successfully reported this slideshow.
Your SlideShare is downloading. ×

XSS (Cross site scripting)

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Loading in …3
×

Check these out next

1 of 11 Ad
Advertisement

More Related Content

Recently uploaded (20)

Advertisement

XSS (Cross site scripting)

  1. 1. XSS <script>alert(‘Cross site scripting’);</script> @nbluis http://about.me/nbluis Friday, June 14, 13
  2. 2. O que é ? • Tipo de ataque a um web site • Injeção de javascript malicioso • Na lista dos 3 ataques mais utilizados na internet Friday, June 14, 13
  3. 3. For dummies Friday, June 14, 13
  4. 4. Ahh, mas é client side Friday, June 14, 13
  5. 5. Possibilidades • Scanear a rede interna do cliente • Sequestro de sessão (session hijacking) • Key logger • Controle total da página (DOM, Scripts, etc) Friday, June 14, 13
  6. 6. Friday, June 14, 13
  7. 7. E como evitamos ? • Replace antes de salvar.... • param.replaceAll(‘<’,‘&lt;’); • param.replaceAll(‘>’,‘&gt;’); Friday, June 14, 13
  8. 8. Friday, June 14, 13
  9. 9. E como evitamos ? • Nunca se modifica a informação do usuário • Sempre tratamos antes de apresentar • O critério de encode depende de onde será apresentado Friday, June 14, 13
  10. 10. Mas isso é difícil Friday, June 14, 13
  11. 11. Friday, June 14, 13

×