O que é cross-site scripting (XSS)?
Leitura de 4 min
O cross-site scripting (conhecido também pela sigla XSS) é um tipo de injeção de malware muito perigosa que pode usar websites aparentemente confiáveis contra você. Um hacker pode injetar um script malicioso em um website anteriormente inofensivo e qualquer usuário desatento pode ser tornar uma vítima das ameaças contidas neste tipo de ataque.
O que é o cross-site scripting?
Definição de XSS
O cross-site scripting (ou XSS) é um tipo de ataque virtual que explora as vulnerabilidades dos sites para injetar scripts maliciosos em páginas aparentemente seguras. Como os navegadores não conseguem separar o código bom do ruim, esses scripts perigosos são executados pelos visitantes, que acabam infectando seus dispositivos ou expondo suas credenciais de conta.
Originalmente, o termo se referia apenas a malware criado em JavaScript. Com o tempo, a sigla XSS passou a abranger outros códigos, como ActiveX, HTML, Flash e outros.
Como funciona o ataque XSS?
O ataque XSS funciona como uma injeção com scripts maliciosos inseridos em websites, quando o hacker infecta um website confiável com estes códigos, prejudica as pessoas que acessam o endereço eletrônico contaminado. Estes ataques são muito parecidos com os ataques de injeção SQL.
Quando a vítima acessa o portal infectado com a injeção feita por XSS, ela pode ativar vários efeitos negativos em seu dispositivo, o que abre uma série de brechas na segurança.
Tipos de ataques de cross-site scripting
Apesar do propósito ser essencialmente o mesmo, há três tipos principais de ataques de cross-site scripting:
XSS refletido
XSS refletido é o tipo mais comum de ataque XSS. O XSS refletido acontece quando um usuário envia uma solicitação para um servidor que hospeda o website. O script malicioso injetado pelo hacker reflete o servidor, se colocando entre ele e a vítima, e mostra uma mensagem de erro ou até resultados de buscas na tela do usuário.
Quando a vítima clica em um link, janela ou botão, ela executa o código malicioso. O navegador é enganado a acreditar que o código veio de um servidor confiável (no caso, o servidor infectado), e todas as informações inseridas no website infectado são enviadas para o criminoso.
XSS persistente
Também conhecido como XSS armazenado, é executado quando um aplicativo ou website são infectados com código malicioso, contaminando todas as respostas HTTP.
O malware pode ficar armazenado num campo de comentários de um website, por exemplo, onde ele é ativado quando a vítima clica para comentar algo. O principal risco deste tipo de XSS é que ela não precisa nem mesmo de um “atrativo” em específico (como uma janela de pop-up ou um link, por exemplo). Tudo que o criminoso precisa fazer é instalar a armadilha e esperar para que a vítima caia nela.
XSS baseada em DOM
A XSS baseada em DOM (Document Object Model, ou “modelo de objeto de documento”) é criada assim que alguém abre uma página na web, o que permite que o usuário acesse todo o conteúdo em uma página sem ter que interagir com o servidor no qual ela é hospedada. O XSS do tipo DOM foca em atingir o navegador da vítima.
Enquanto que nos ataques XSS do tipo persistente e reflexivo podem ser detectados por sinais evidentes de perigo, as ameaças contidas no XSS do tipo DOM são ainda mais graves porque é praticamente impossível verificar o perigo sem analisar o próprio código do website.
A maioria das vítimas, que não possuem muito conhecimento técnico, acabam caindo nessas armadilhas. Afinal, quem é que verifica atentamente o código inteiro de um website antes de clicar em algo?
Quais os riscos das vulnerabilidades XSS?
As vulnerabilidades XSS (dos tipos persistente, refletida e DOM) permitem a criminosos cibernéticos inserir códigos maliciosos em várias páginas da internet e, em geral, eles infectam páginas legítimas.
Com isto, eles criam várias armadilhas (até mesmo em cookies) para quem visita e administra as páginas infectadas, conseguindo roubar dados e informações sigilosas das vítimas. Por exemplo: ao inserir informações pessoais no site, a vítima acaba tendo seus dados sequestrados pelo criminoso através do ataque XSS.
Estes ataques prejudicam a integridade e confiabilidade dos sites e expõem as pessoas a vários tipos de brechas de segurança com vários efeitos diversos.
Dicas de proteção contra ataques XSS
Infelizmente, é muito difícil se proteger contra ataques XSS, já que o malware tem como alvo websites que você visita e não seu dispositivo pessoal em si.
O melhor modo de se proteger contra estas ameaças e de evitar ser vítima de ataques XSS é se informar sobre elas. Saber reconhecer os sinais deste tipo de ameaça antes de ativar acidentalmente os códigos maliciosos inseridos por ataques XSS deve ser sua prioridade se você quiser manter suas atividades online em segurança.
Aqui, separamos algumas dicas que podem te ajudar a se proteger contra estes ataques e se prevenir contra os efeitos negativos causados por eles:
- Verifique a URL do endereço eletrônico que você visita: se alguma coisa for estranha ou incomum, tome cuidado ao acessar o endereço eletrônico: ele pode estar infectado com um ataque XSS;
- Verifique o código fonte do website: se você tiver conhecimentos técnicos mais avançados, vale a pena verificar o código do endereço eletrônico e procurar por qualquer script que seja estranho;
- Use navegadores mais seguros: Safari, Chrome e Internet Explorer são exemplos de navegadores mais seguros que conseguem ajudar a identificar e bloquear XSS;
- Use um bom serviço de VPN: um bom serviço de VPN ajuda a melhorar sua segurança contra ataques XSS. A NordVPN, por exemplo, conta com a funcionalidade de Proteção contra Vírus e Ameaças, que mantém uma lista de sites maliciosos atualizada constantemente, o que ajuda a bloquear endereços contaminados (inclusive também através de técnicas de clickjacking) e impedir a ativação dos códigos maliciosos inseridos por infecção XSS.
Sua segurança online começa com um clique.
Fique em segurança com a VPN líder a nível mundial
