Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

XSS (Cross site scripting)

640 views

Published on

Apresentação realizada no uMov.me Summit sobre XSS.

Published in: Technology
  • Be the first to comment

XSS (Cross site scripting)

  1. 1. XSS<script>alert(‘Cross site scripting’);</script>@nbluishttp://about.me/nbluisFriday, June 14, 13
  2. 2. O que é ?• Tipo de ataque a um web site• Injeção de javascript malicioso• Na lista dos 3 ataques mais utilizados nainternetFriday, June 14, 13
  3. 3. For dummiesFriday, June 14, 13
  4. 4. Ahh, mas é client sideFriday, June 14, 13
  5. 5. Possibilidades• Scanear a rede interna do cliente• Sequestro de sessão (session hijacking)• Key logger• Controle total da página (DOM, Scripts,etc)Friday, June 14, 13
  6. 6. Friday, June 14, 13
  7. 7. E como evitamos ?• Replace antes de salvar....• param.replaceAll(‘<’,‘&lt;’);• param.replaceAll(‘>’,‘&gt;’);Friday, June 14, 13
  8. 8. Friday, June 14, 13
  9. 9. E como evitamos ?• Nunca se modifica a informação do usuário• Sempre tratamos antes de apresentar• O critério de encode depende de ondeserá apresentadoFriday, June 14, 13
  10. 10. Mas isso é difícilFriday, June 14, 13
  11. 11. Friday, June 14, 13

×