Hacks cross-site scripting em aplicações web

cross-site scripting (XSS) é talvez a vulnerabilidade web mais bem conhecido que pode ter seu site hackeado. XSS ocorre quando uma página da Web exibe a entrada do usuário - normalmente através de javascript- que não está devidamente validada. Um hacker criminoso pode tirar proveito da ausência de filtragem de entrada e causar uma página web para executar código malicioso no computador de qualquer usuário que visualiza a página.

Video: Web Hacking And Webserver Hacking | cross site scripting attack

Por exemplo, um ataque XSS pode exibir o ID de usuário e uma página de login senha de outro site desonestos. Se os usuários sem saber inserir seus IDs de usuário e senhas na página de login, os IDs de usuário e senhas são inseridos no arquivo de log do servidor web do hacker.

Outros códigos maliciosos podem ser enviados para computador da vítima e correr com os mesmos privilégios de segurança como o navegador web ou aplicativo de e-mail que está a visualiza no sistema- o código malicioso poderia fornecer um hacker com total de leitura / gravação acesso aos cookies do navegador, arquivos de histórico do navegador, ou até mesmo permitir que o download / instalação de malware.

Video: IEFD Ep. 13 - Website Hacking - XSS part 1

Um simples teste mostra se sua aplicação web é vulnerável a XSS. Procure por quaisquer campos na aplicação que aceitam a entrada do usuário (como em um formulário de login ou de pesquisa), e digite a seguinte instrução javascript:



Se uma janela aparece que lê XSS, a aplicação é vulnerável.
Há muitos mais iterações para explorar XSS, tais como aqueles que exigem interação do usuário via javascript onmouseover função. Como com a injeção de SQL, você realmente precisa usar um scanner automatizado para verificar se há XSS. Ambos WebInspect e Acunetix Web Vulnerability Scanner fazer um grande trabalho de encontrar XSS. Eles muitas vezes tendem a encontrar problemas de XSS diferentes, um detalhe que destaca a importância do uso de vários scanners quando puder.
Outra scanner de vulnerabilidade web que é muito bom em descobrir XSS que muitos outros scanners não vai encontrar é NTOSpider de Objetivos NT. NTOSpider funciona melhor do que outros scanners em executar scans autenticadas contra aplicações que utilizam sistemas de autenticação multi-fator. NTOSpider deve ser definitivamente em seu radar como um potencial leitor primário ou secundário. Lembre-se: Quando se trata de vulnerabilidades web, mais scanners a melhor!

Publicações relacionadas 
Vulnerabilidades de segurança em sistemas baseados na web
Ataques de hackers baseados em software
Evite hacks em estações de trabalho sem fio vulneráveis
Esteja ciente de vulnerabilidades senha para evitar a hackeadas
Mandamentos de hackers éticos
Hacking ferramentas que você não pode viver sem
Como usar editores hexadecimais para identificar vulnerabilidades de hackers
Problemas de segurança causados ​​por informações confidenciais serem armazenadas localmente
Ferramentas para evitar rede de hackers
Manipulação url corta em aplicações de web
Ferramentas de teste de segurança de aplicativos web para identificar vulnerabilidades
O que é um site apenas para membros?
Hacks de estouro de buffer em aplicações web
Processo de autenticação web cisco wireless lan
De injeção de código e de injeção de sql hacks em aplicações web
Manipulação campo oculto hacks em aplicações web
Hacks que exploram manchas perdidas
Executar scans autenticadas contra sistemas windows
Executar varreduras autenticadas para evitar hacks em sistemas windows
O login inseguro hacks em aplicações web e como evitá-los