SóProvas

ID
1419421
Banca
FCC
Órgão
TCE-GO
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A melhor maneira de evitar ataques de Cross-Site Scripting (XSS) em aplicações web é

Alternativas
Comentários

  • excelente questão, bem atual.


    Estou bem surpreendido com as questões da FCC. Elas estão bem atuais, muito Html5 e algumas bem interessantes de XSS

    Na verdade, estão melhores que a do CESPE.


    Quanto à questão, convido todos a lerem os seguintes artigos


    http://blog.caelum.com.br/seguranca-em-aplicacoes-web-xss/


    http://blog.caelum.com.br/prevenindo-ataques-de-html-injection/

  • LETRA A.

    Quando a XSS o GUIA OWASP é uma boa fonte!

    Segundo o Guia OWASP, p.10, "

    Como faço para evitar? 

    Evitar XSS requer a separação do dado não-confiável do conteúdo ativo no navegador.

    1.A opção apropriada é filtrar adequadamente todos os dados não-confiáveis com base no contexto HTML (corpo, atributo, JavaScript, CSS ou URL) no qual os dados serão colocados. Veja o OWASP XSS Prevention Cheat Sheet para detalhes sobre os requisitos das técnicas de filtro de dados.


    2.“Lista branca" ou validação de entrada positiva também é recomendada pois ajuda a proteger contra XSS, mas não é uma defesa completa, já que muitas aplicações requerem caracteres especiais em sua entrada. Tal validação deve, tanto quanto possível, validar o tamanho, caracteres, formato, e as regras de negócio sobre os dados antes de aceitar a entrada.


    3.Para conteúdo rico considere bibliotecas de auto-sanitização como OWASP's AntiSamy ou o Java HTML Sanitizer Project.


    4.Considere a Content Security Policy (CSP) para se defender contra XSS em todo o seu site.

    "


    https://www.owasp.org/images/9/9c/OWASP_Top_10_2013_PT-BR.pdf


  • COMO SE PREVINIR:

    Você deve se assegurar que todas as entradas de dados do usuário não são confiáveis. Isso mesmo, pois sempre na inclusão desses dados a ideia é de desconfiança para que se obtenha filtragem e consequentemente segurança. Todos dados de usuário a serem utilizados para construção do contexto HTML (corpo, atributo, JavaScript, CSS ou URL) devem ser verificados para assegurar que não contenham nenhum conteúdo ativo (JavaScript, ActiveX, Flash, Silverlight, etc) e que sejam codificados de maneira apropriada, por exemplo, transformando metacaracteres em códigos de escape HTML.

    Uma boa referência para apoiar a filtragem de dados é o dicionário de ataques XSS fornecido pelo OWASP:

    Por outro lado, os ataques de XSS também podem ser evitados pela implementação de um filtro de aplicações web, mais conhecido como Web Application Firewall, e também por meio de mecanismos de prevenção que estão embutidos em navegadores modernos.

  • XSS injeta código que roda do lado cliente. Ora, para evitar isso vc tem q controlar o que vem do cliente. 

    Fontes:
    www.profalmeidajunior.com.br 
    www.apcti.com.br

  • A SANITIZAÇÃO(extremamente importante na prevenção contra ataques do tipo XSS). é um processo de analisar o HTML de entrada e aplicar uma lista branca de elementos, atributos e outros valores permitidos que validando o tamanho, caracteres, formato, e as regras de negócio sobre os dados antes de aceitar a entrada.