Ataques de XSS são um tipo de ataque de injeção de código, uma categoria ampla de crimes cibernéticos. Para realizar um desses ataques de injeção, um cibercriminoso adiciona e injeta o próprio código em um programa vulnerável. Alguns ataques alteram completamente a execução do programa, enquanto outros adicionam resultados, como baixar malware no computador da vítima ou roubar dados pessoais.
Como o “cross-site scripting” funciona?
Na programação de computadores, um script é uma série de instruções que informam a um programa o que fazer. Os cibercriminosos podem explorar vulnerabilidades no código de um site para injetar seus próprios scripts maliciosos que alteram o comportamento do site de alguma forma.
Seu navegador não consegue diferenciar o código legítimo do site do código injetado por um cibercriminoso. Seu navegador executa automaticamente todos os scripts de um determinado site, portanto, executará o código do cibercriminoso junto com o resto.
O XSS permite que os cibercriminosos transformem sites legítimos em armadilhas. A navegação normal torna-se perigosa quando você acessa um site infectado com scripts maliciosos ocultos. Pior ainda, XSS significa que o cibercriminoso não precisa atacar cada vítima diretamente. Ele pode se sentar e deixar que os sites infectados façam todo o trabalho, atingindo muito mais pessoas simultaneamente.
HTML, JavaScript e aplicativos web: meu Deus!
Atrás de cada site há um monte de código escrito em uma linguagem de marcação chamada HTML. Programas de computador, como aplicativos da web, usam linguagens de marcação para distinguir o código do texto normal.
Um aplicativo da web é um programa armazenado remotamente que é entregue ao seu computador por meio do navegador de internet. Exemplos comuns incluem serviços de webmail e lojas virtuais. Conforme você interage com o aplicativo da web, ele interpreta e atua nas solicitações de volta ao servidor e depois transmite os resultados a você no navegador. A diferença entre os aplicativos da web e os nativos é que os últimos são programas “tradicionais” instalados e executados totalmente no dispositivo.
Os sites escritos exclusivamente em HTML não podem se ajustar dinamicamente à entrada do usuário. Por isso, para permitir que os aplicativos da web funcionem, os programadores combinam HTML com linguagens adicionais, como JavaScript que é uma linguagem mais avançada que permite que os sites reajam em tempo real aos comandos. Se você estiver navegando em uma loja de roupas, por exemplo, e optar por visualizar “suéteres” em um menu suspenso, o JavaScript instrui o site a mostrar todos os suéteres, e apenas suéteres, disponíveis.
Enquanto o HTML é hospedado no lado do servidor, o JavaScript é executado no seu computador (conhecido como operação do lado do cliente). A maioria dos ataques XSS usa HTML ou JavaScript, e essa diferença é crucial para entender como funcionam os diferentes tipos de ataques XSS.
O que um ataque de XSS é capaz de fazer?
Os ataques de XSS geralmente não são tão perigosos quanto outros tipos de ataques de injeção de código, como injeção de SQL. Os navegadores tendem a manter o conteúdo em JavaScript sob controle, mas um cibercriminoso habilidoso pode trabalhar dentro desses limites para explorar vários dados do usuário.
Muitos ataques de XSS têm como objetivo sequestrar os cookies de sessão da vítima quando eles visualizam o site infectado. Com esses cookies, o cibercriminoso pode agir em nome da vítima e acessar informações pessoais, como nomes de usuário e senhas, para uso em outros crimes cibernéticos. Em um portal de comércio eletrônico, esses dados podem incluir até números de cartão de crédito e débito.
Com o XSS, um site legítimo pode ser transformado em um portal de phishing. Por exemplo, um cibercriminoso pode usar XSS para criar um formulário de login envenenado que captura as credenciais das vítimas quando enviado. Alguém também pode injetar um keylogger que registra a digitação do teclado da vítima enquanto ela está na página afetada. Scripts maliciosos podem até baixar malware nos computadores das vítimas para preparar ataques subsequentes.
Como todos os sites usam HTML e a maioria dos sites também usa JavaScript, o cibercriminosos só precisa encontrar um que possa explorar. Por isso, hoje, o XSS é uma das vulnerabilidades de segurança em software mais prevalentes.
O XSS não só é muito difundido, como também é incrivelmente difícil de detectar, porque os cibercriminosos podem inserir código malicioso em sites legítimos. Os proprietários desses sites confiáveis podem não identificar ou conseguir remover o código maligno por algum tempo. Em vez de esperar que o código XSS seja removido ou entrar em paranoia com todos os sites que acessar, a melhor solução é usar uma ferramenta robusta de segurança cibernética.
O Avast Free Antivirus impede o XSS, para que você nunca corra o risco de passar suas informações pessoais a um cibercriminoso. Ele também oferece proteção 24 horas por dia contra links maliciosos, anexos de e-mail infectados e todas as outras ameaças online que existem.
Que tipos de ataques de XSS existem?
Há três categorias básicas de ataques de XSS. Duas delas, refletidos e armazenados, envolvem manipulação de código no servidor de aplicativos da web, enquanto os ataques XSS baseados em DOM são uma categoria mais recente que funciona exclusivamente no dispositivo da vítima.
XSS refletido
XSS refletido é a forma mais comum e mais simples dos três ataques de XSS. Ele é o mais fácil de executar e (como geralmente é o caso nessas situações) e o mais fácil para você detectar e evitar. Na verdade, é o único tipo que você pode esperar detectar por conta própria, sem a ajuda de um software antivírus.
Ele também é conhecido como ataque não persistente e exige que as vítimas cliquem em links maliciosos já preparados com o script do cibercriminoso. O navegador da vítima envia a solicitação carregada para o servidor do site e ela é “refletida” para a vítima por meio de uma página infectada.
O cibercriminoso não precisa violar o site em si, apenas convencer as vítimas a clicar em links infectados. É uma mistura de mágica técnica e façanha de engenharia social.
XSS armazenado
O XSS armazenado supera a limitação dos ataques de XSS refletido, que precisam ser iniciados ativamente toda vez por meio de um link malicioso. O XSS armazenado permite que os cibercriminosos injetem permanentemente scripts direto no site, infectando cada usuário que o acessa. Por isso, eles também são conhecidos como ataques persistentes de XSS.
Os ataques de XSS armazenado são mais complicados do que os refletidos, porque o cibercriminoso precisa identificar um site com:
Mas se o cibercriminoso conseguir fazer isso, ele será capaz de afetar um número muito maior de vítimas. Qualquer pessoa que visualize um site infectado receberá os scripts maliciosos no navegador. Por esse motivo, o XSS armazenado é quase impossível de detectar. Não há sinais de alerta que levantam suspeitas até ser tarde demais.
XSS baseado em DOM
Em ataques de XSS baseado em DOM, os cibercriminosos modificam a interação entre o navegador e os sites que você acessa, alterando a maneira que eles reagem aos dados que você envia. Enquanto os ataques XSS refletidos e armazenados afetam o HTML do lado do servidor, os ataques XSS baseados em DOM ignoram isso e se concentram exclusivamente na atividade do navegador.
Lembra-se de que a maioria dos sites usa JavaScript para habilitar a funcionalidade dinâmica? O JavaScript trabalha do seu lado e informa ao site como reagir aos seus comandos. Se um cibercriminoso puder interceptar o processo em que o JavaScript do lado do cliente transmite seus dados ao aplicativo Web, ele poderá alterar a maneira que o aplicativo funciona no seu navegador.
Como posso impedir ataques de XSS?
Por design, scripts são procedimentos automatizados que não precisam da sua interação para serem executados. Essa automação torna a maioria dos ataques XSS impossíveis de detectar, já que o navegador não saberá quais scripts são legítimos e quais foram injetados por um cibercriminoso. Ataques XSS refletidos são uma exceção a essa regra. É possível evitá-los conforme descrito acima.
Caso contrário, é responsabilidade do administrador do site encontrar e corrigir as vulnerabilidades de XSS antes que possam ser exploradas para atacar os usuários.
Defesa contra ataques de XSS refletido
No XSS refletido, o desafio do invasor é enganar a vítima para que ela clique em um link envenenado. Mas isso também oferece a chance de contornar esse tipo de ataque de XSS, ao contrário dos outros dois tipos. Você pode evitar ataques de XSS refletido se seguir uma das práticas recomendadas mais consagradas da Internet: não clique em links suspeitos.
Ignore links encontrados em:
-
Seções de comentário de sites, fóruns e quadro de mensagens.
-
Mensagens instantâneas e e-mails de remetentes desconhecidos.
-
Publicações de pessoas desconhecidas em redes sociais.
-
Mensagens suspeitas dos seus contatos que parecem estranhas. Eles podem ter sido invadidos.
Mas até mesmo essas dicas não são à prova de falhas. Por exemplo, os cibercriminosos podem usar spoofing para fazer parecer que as comunicações estão sendo enviadas a você por contatos confiáveis. Ou podem usar uma trapaça eficaz de engenharia social para te induzir a clicar. Sempre tenha atenção na internet.
Proteja-se contra XSS com o Avast Free Antivirus
Os ataques XSS são notoriamente difíceis de detectar e você não pode confiar no seu navegador para manter a sua segurança. Proteja-se ativamente contra os cibercriminosos com uma solução de segurança poderosa projetada para detectar e prevenir ameaças de todos os tipos. O Avast Free Antivirus é uma ferramenta abrangente de cibersegurança em que centenas de milhões de pessoas de todo o mundo confiam. Com o monitoramento contínuo do dispositivo e da conexão de rede, que detecta qualquer indicação de problema, o Avast Free Antivirus protege seus dados valiosos contra as técnicas de hacking mais sorrateiras.