Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

XSS (Cross site scripting)

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Wird geladen in …3
×

Hier ansehen

1 von 11 Anzeige
Anzeige

Weitere Verwandte Inhalte

Aktuellste (20)

Anzeige

XSS (Cross site scripting)

  1. 1. XSS <script>alert(‘Cross site scripting’);</script> @nbluis http://about.me/nbluis Friday, June 14, 13
  2. 2. O que é ? • Tipo de ataque a um web site • Injeção de javascript malicioso • Na lista dos 3 ataques mais utilizados na internet Friday, June 14, 13
  3. 3. For dummies Friday, June 14, 13
  4. 4. Ahh, mas é client side Friday, June 14, 13
  5. 5. Possibilidades • Scanear a rede interna do cliente • Sequestro de sessão (session hijacking) • Key logger • Controle total da página (DOM, Scripts, etc) Friday, June 14, 13
  6. 6. Friday, June 14, 13
  7. 7. E como evitamos ? • Replace antes de salvar.... • param.replaceAll(‘<’,‘&lt;’); • param.replaceAll(‘>’,‘&gt;’); Friday, June 14, 13
  8. 8. Friday, June 14, 13
  9. 9. E como evitamos ? • Nunca se modifica a informação do usuário • Sempre tratamos antes de apresentar • O critério de encode depende de onde será apresentado Friday, June 14, 13
  10. 10. Mas isso é difícil Friday, June 14, 13
  11. 11. Friday, June 14, 13

×