Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
XSS<script>alert(‘Cross site scripting’);</script>@nbluishttp://about.me/nbluisFriday, June 14, 13
O que é ?• Tipo de ataque a um web site• Injeção de javascript malicioso• Na lista dos 3 ataques mais utilizados nainterne...
For dummiesFriday, June 14, 13
Ahh, mas é client sideFriday, June 14, 13
Possibilidades• Scanear a rede interna do cliente• Sequestro de sessão (session hijacking)• Key logger• Controle total da ...
Friday, June 14, 13
E como evitamos ?• Replace antes de salvar....• param.replaceAll(‘<’,‘&lt;’);• param.replaceAll(‘>’,‘&gt;’);Friday, June 1...
Friday, June 14, 13
E como evitamos ?• Nunca se modifica a informação do usuário• Sempre tratamos antes de apresentar• O critério de encode dep...
Mas isso é difícilFriday, June 14, 13
Friday, June 14, 13
Upcoming SlideShare
Loading in …5
×

XSS (Cross site scripting)

634 views

Published on

Apresentação realizada no uMov.me Summit sobre XSS.

Published in: Technology
  • Be the first to comment

XSS (Cross site scripting)

  1. 1. XSS<script>alert(‘Cross site scripting’);</script>@nbluishttp://about.me/nbluisFriday, June 14, 13
  2. 2. O que é ?• Tipo de ataque a um web site• Injeção de javascript malicioso• Na lista dos 3 ataques mais utilizados nainternetFriday, June 14, 13
  3. 3. For dummiesFriday, June 14, 13
  4. 4. Ahh, mas é client sideFriday, June 14, 13
  5. 5. Possibilidades• Scanear a rede interna do cliente• Sequestro de sessão (session hijacking)• Key logger• Controle total da página (DOM, Scripts,etc)Friday, June 14, 13
  6. 6. Friday, June 14, 13
  7. 7. E como evitamos ?• Replace antes de salvar....• param.replaceAll(‘<’,‘&lt;’);• param.replaceAll(‘>’,‘&gt;’);Friday, June 14, 13
  8. 8. Friday, June 14, 13
  9. 9. E como evitamos ?• Nunca se modifica a informação do usuário• Sempre tratamos antes de apresentar• O critério de encode depende de ondeserá apresentadoFriday, June 14, 13
  10. 10. Mas isso é difícilFriday, June 14, 13
  11. 11. Friday, June 14, 13

×