Definição – O que significa Cross Site Scripting (XSS)?
Cross Site Scripting (XSS) é o processo de adição de código malicioso a um site genuíno para coletar informações do usuário com intenções maliciosas. Os ataques XSS são possíveis por meio de vulnerabilidades de segurança encontradas em aplicativos da Web e são comumente explorados por meio da injeção de um script do lado do cliente. Embora o JavaScript geralmente seja empregado, alguns invasores também usam VBScript, ActiveX ou Flash.
Definirtec explica Cross Site Scripting (XSS)
Quando uma vulnerabilidade XSS é explorada com sucesso, o aplicativo do servidor pode ficar seriamente exposto a grandes riscos. Por exemplo, os usuários podem ser enganados para executar scripts maliciosos ao visualizar páginas geradas dinamicamente. Outra possibilidade envolve um invasor assumir o controle de uma sessão do usuário antes que o cookie de sessão correspondente expire. Em outro caso, usuários inocentes podem ser conectados a um servidor malicioso.
Em praticamente todos os cenários, o sistema da vítima é atacado usando os próprios privilégios da vítima. Os ataques podem então evoluir para sequestro de conta, roubo de cookies, propaganda enganosa e modificações nas configurações do usuário da conta da vítima.
Uma maneira de atenuar os riscos de exploits XSS é desativando o script ativo nos navegadores. Infelizmente, isso também tira a capacidade do navegador de executar sites dinâmicos e não é uma solução realista para a maioria dos usuários.