SóProvas

ID
1750825
Banca
FCC
Órgão
TRE-AP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

XSS é a mais predominante falha de segurança em aplicações web, que ocorre quando uma aplicação inclui os dados fornecidos pelo usuário na página (enviados ao navegador) sem a validação ou filtro apropriado desse conteúdo. Os três tipos conhecidos de falhas XSS são Persistente, Refletido e

Alternativas
Comentários

  • Tipos xss 

    •XSS Não Persistente (Reflected): Os não persistentes são os mais comuns, sendo os principais responsáveis por ataques de phishing. 

    •XSS Persistente (Storage): é o tipo mais perigoso, pois não depende da ação do usuário e frequentemente acontece em sites no qual o atacante pode postar texto, como, por exemplo, fóruns, Orkut, Twitter, Facebook.

    •XSS Baseado em DOM: ocorre quando um código JavaScript usa o parâmetro passado na URL para escrever na própria página, e esse parâmetro não é uma entidade HTML.



  • Sumário: Afinal, o que é o Cross-site Scripting?

    O ataque de Cross-site scripting (XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Este ataque permite que código HTML seja inserido de maneira arbitrária no navegador do usuário alvo.

    Tecnicamente, este problema ocorre quando um parâmetro de entrada do usuário é apresentado integralmente pelo navegador, como no caso de um código javascript que passa a ser interpretado como parte da aplicação legítima e com acesso a todas as entidades do documento (DOM). Na prática, o responsável pelo ataque executar instruções no navegador da vítima usando um aplicativo web vulnerável, modificar estruturas do documento HTML e até mesmo utilizar o golpe para perpetrar fraudes como phishing.


    http://www.redesegura.com.br/2012/01/saiba-mais-sobre-o-cross-site-scripting-xss/

  • LETRA C. 

    Segundo o documento da OWASP TOP 10-2013,p.10,"XSS é a mais predominante falha de segurança em aplicações web. As falhas de XSS ocorrem quando uma aplicação inclui os dados fornecidos pelo usuário na página, enviados ao navegador, sem a validação ou filtro apropriados desse conteúdo. Existem três tipos conhecidos de falhas XSS: 1) Persistente, 2) Refletido, e 3) XSS baseado em DOM."

  • TIPOS DE XSS

     

    Não persistente ou Refletido:  "...aparecem quando os dados fornecidos por um cliente web, mais comumente em parâmetros de consulta HTTP ou envios de formulários HTML, é imediatamente utilizado pelos scripts do lado do servidor para analisar e exibir uma página de resultados de e para o usuário, sem a limpeza adequada do pedido."

     

    Persistente ou Armazenado: "...ocorre quando os dados fornecidos pelo atacante são salvos pelo servidor e, em seguida, exibidos em páginas 'normais' retornadas para outros usuários no curso de uma navegação normal."

     

    Baseado em DOM: "Nos XSS baseados em DOM, os dados maliciosos não tocam no servidor web e está sendo refletida pelo código JavaScript, totalmente no lado do cliente."

     

     

    fonte: https://pt.wikipedia.org/wiki/Cross-site_scripting