ataques xss

2762 palavras 12 páginas
Exibir mais
A Uma Visão da (In)Segurança na Web

XSS- Cross-Site Scripting Attacks

Segurança em Código Móvel

• Tanenbaum / Wetherall – Redes de
Computadores –Edição 5 – 2011, páginas
537, 538.

Segurança em Código Móvel

• No início, quando páginas Web eram apenas arquivos HTML estáticos, essas não continham códigos executável.
• Mas, hoje, as páginas frequentemente contém pequenos programas (Aplets Java, controles
ActiveX, código de JavaScript, ...

Segurança em Código Móvel
• Baixar e executar um código móvel num navegador, é sem dúvida, um risco de segurança. • Existem alguns métodos para minimizar esse risco de segurança.

ActiveX

• Programas binários X86 que podem ser incorporados às páginas Web.
• Tem poder como qualquer outro programa do usuário e tem potencial para causar grandes danos. • A segurança se resume na decisão de executar ou não o controle ActiveX.

ActiveX
• O método que a Microsoft escolheu para tomar a decisão de executar ou não, chama-se
Authenticode.
• Baseado na ideia de assinatura de código.
• Cada controle é acompanhado por uma assinatura digital – um hash do código, assinado pelo seu criador, com o uso de criptografia assimétrica.

ActiveX
• Quando um controle ActiveX aparece no navegador, esse verifica a assinatura, para ter certeza de que não foi adulterado em trânsito.
• Se a assinatura estiver correta, o navegador consulta suas tabelas internas para ver se o criador do programa é confiável.
• Se o criador for confiável, o programa é executado.

ActiveX
• Não é feito nenhum monitoramento do comportamento de execução do controle
ActiveX, como um código móvel.
• Se veio de origem confiável e não foi adulterado em trânsito, é executado pelo navegador. ActiveX
• Não é verificado se o código é malicioso ou não. • Controles ActiveX podem ser desenvolvidos, distribuídos, mas podem ser desativados no navegador. ActiveX
• Como não há como policiar milhares de empresas de

Relacionados

  • ataques
    1519 palavras | 7 páginas

    Pesquisar sobre os ataques XSS e CSRF. Explicar o que são, como funcionam e formas de bloqueá-los; Os ataques XSS tiram proveito da confian¸ca que o usu´ario tem no servidor e atuam inserindo conteúdo alheio a página esperada, esse conteúdo pode ir desde informações falsas, até a códigos HTML e/ou JavaScript que podem ser usados para realizar ataques CSRF. Já os ataques CSRF se apóiam na confiança que o servidor de um site, ou aplicação Web, tem de que é o usuário que efetivamente está realizando….

    exibir mais
  • Segurança SQLi e Havij
    3052 palavras | 13 páginas

    Sumário 1 - Introdução Este artigo tem por objetivo apresentar um estudo realizado sobre práticas em SQLi e XSS com foco em Havij dentro do plano que nos foi apresentado sobre o uso e detecção de vulnerabilidades e falhas de segurança em Websites, destacando também o modo prático. Com a explosão da acessibilidade do uso da internet chegando a 2,4 bilhões de pessoas, aponta levantamento realizado em 2013 pela consultoria Kleiner Perkins….

    exibir mais
  • php_a_prova_de_balas
    1823 palavras | 8 páginas

    PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 “Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas” (Mateus 6.33) Pauta • Um pouco sobre segurança • Conhecendo os meios de ataque • Outros tipos de ameaça • Mais alguns cuidados • Perguntas Um pouco sobre segurança 1 O que é segurança? • Segurança baseia­se em três pontos: CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE O que é segurança? Não se iluda. Não existem aplicações….

    exibir mais
  • ANÁLISE DAS PRINCIPAIS VULNERABILIDADES DE APLICAÇÕES WEB TENDO COMO BASE A ARQUITETURA LAMP E AS TOP 10 VULNERABILIDADES DA OWASP
    16905 palavras | 68 páginas

    ...................................................................... 23 Tabela 02 – Mapeamento do risco de injeção............................................................................................. 25 Tabela 03 – Mapeamento do risco de XSS................................................................................................. 33 Tabela 04 – Codificando caracteres............................................................................................................ 36 Tabela….

    exibir mais
  • gestao ti
    649 palavras | 3 páginas

    maior parte das pessoas não sabe que poderá estar a ser vítima de um ataque graças a falhas nos sites que está a visitar, falhas essas que muitas vezes se devem a pequenos descuidos do programador. O objectivo deste artigo é elucidar o leitor sobre os tipos de falhas que se descobrem com mais frequência, como funcionam e como as evitar. As vulnerabilidades que existem em mais abundância na web são: • Cross site scripting (XSS); • Falhas de injecção; • Execução de ficheiros maliciosos; • Insecure….

    exibir mais
  • Sdddd
    699 palavras | 3 páginas

    Ataques à Aplicações Web - Uma visão prática Prof. Me. Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ carlos.nilton@gmail.com @cnacorrea Objetivo • Conhecer, descrever e realizar baseados na Web: roubo de sessões, XSS, XSRF, XSSI. • Também são apresentados ataques na camada de aplicação: SQL Injection, directory traversal, injeção de comandos, overflows. Vulnerabilidades da web Fonte: Projeto OWASP Information leakage? • Consultas no Google! – Podem equivaler a um “nmap….

    exibir mais
  • Was
    686 palavras | 3 páginas

    front-end web, a fim de identificar possíveis vulnerabilidades de segurança. 03/25/15 4 Pesquisa Cenzic 2012 03/25/15 5 Cross Site Scripting ● O ataque de Cross-site scripting (XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Este ataque permite que código HTML seja inserido de maneira arbitrária no navegador do usuário alvo. 03/25/15 6 ● ● Persistente (Stored) → O código malicioso pode….

    exibir mais
  • Software Seguro Apostila Complementar De Aula 1 1
    10573 palavras | 43 páginas

    ............................................................. 4 O que são ataques DoS? ............................................................................................................................................... 4 Como detectar?............................................................................................................................................................. 5 Combatendo ataques DoS ou DDoS...............................................................….

    exibir mais
  • teste
    9795 palavras | 40 páginas

    de Testes OWASP e no Guia de Revisão de Código OWASP. Mudança constante. Este Top 10 continuará sendo alterado. Mesmo sem alterar uma linha de código da sua aplicação, ela poderá ficar vulnerável a novas falhas que são descobertas e métodos de ataque que são refinados. Por favor, revise a orientação no final deste documento em “Próximos Passos para Desenvolvedores, Verificadores e Organizações” para maiores informações. Pense positivo. Quando você estiver pronto para parar de procurar vulnerabilidades….

    exibir mais
  • OWASP Top 10 - 2013
    9795 palavras | 40 páginas

    de Testes OWASP e no Guia de Revisão de Código OWASP. Mudança constante. Este Top 10 continuará sendo alterado. Mesmo sem alterar uma linha de código da sua aplicação, ela poderá ficar vulnerável a novas falhas que são descobertas e métodos de ataque que são refinados. Por favor, revise a orientação no final deste documento em “Próximos Passos para Desenvolvedores, Verificadores e Organizações” para maiores informações. Pense positivo. Quando você estiver pronto para parar de procurar vulnerabilidades….

    exibir mais

Outros Trabalhos Populares