Imagine que, de repente, você não consegue fazer login na sua loja online favorita. Além disso, alguém faz alguns comentários estranhos em seu nome e ordena algumas compras. Lembre-se de uma vez que você clicou em um link na seção de comentários de um site para verificar aquela jaqueta que alguém recomendou? Parece que você encontrou um caso de script entre sites (ou XSS). Leia abaixo por que é perigoso e por que é tão fácil ser vítima dele.
O que é script entre sites
O ataque de script entre sites (ou XSS) acontece quando um hacker injeta código malicioso em um site ou aplicativo confiável. Ele explora os pontos fracos do HTML, JavaScript ou qualquer outra linguagem suportada por um navegador. Esse código opera no lado do cliente e não no lado do servidor, de modo que não danifica diretamente o site — em vez disso, tem como alvo os usuários. Dependendo do tipo de XSS, os usuários podem ativar o código malicioso clicando em um link ou visitando um site comprometido.
Uma vez ativado, um ataque de script entre sites pode vazar uma grande quantidade de dados de usuários para hackers, injetar um Trojan, realizar redirecionamentos maliciosos, personificar usuários roubando suas credenciais, etc.
Tipos de script entre sites
XSS refletido
O XSS refletido ocorre quando um usuário clica em um link malicioso para um site vulnerável. Em seguida, a página da Web reflete o script para o navegador da vítima, que o executa. Um cibercriminoso pode sequestrar os cookies de sessão do usuário e roubar seus dados de autorização.
Um site pode não limpar adequadamente as solicitações recebidas, permitindo que os cibercriminosos injetem scripts maliciosos em um link. Seus proprietários também podem não estar cientes de que alguém usa seu site para tais fins.
Por exemplo, Mary tem uma loja online, que Jane usa muito. Jane faz login no site digitando seu nome de usuário e senha, que são armazenados em um cookie de autorização. Tom é o cara mau. Ele descobre que o site de Mary contém uma vulnerabilidade, cria um URL malicioso e o envia para Jane em um e-mail disfarçado de oferta atraente. Jane clica no link e executa o script. O script então infecta o navegador de Jane e envia todos os detalhes de login associados ao cookie de login do site para Tom. Tom pode fazer login na loja online como Alice, roubar suas informações de cobrança e alterar senhas.
XSS armazenado
No XSS armazenado, os hackers não apenas injetam scripts maliciosos em um único link – eles o plantam no servidor de um site. Eles escondem o script em uma seção específica do site, onde ele pode ficar escondido por tempo indeterminado (por exemplo, seção de comentários). Assim, sempre que os usuários acessarem esta seção, os hackers poderão obter todas as suas credenciais associadas a essa sessão. Se um ataque refletido lembra a pesca com uma vara, uma operação XSS armazenada é mais como uma rede com sua capacidade de afetar muito mais usuários.
Por exemplo, Nasse descobre uma vulnerabilidade no site de Dan e injeta uma tag HTML maliciosa em sua seção de comentários. Só fica lá. Agora, quando os visitantes visitam a seção de comentários, a tag ativa o script do hacker hospedado em um site diferente. Ele envia a ela todos os dados de seus cookies de autorização. Ela então pode fazer login no site e se passar por todos os usuários comprometidos.
XSS baseado em DOM
Quando você carrega um site, seu navegador cria um modelo de objeto de documento (ou DOM) da página. É como um mediador entre a página HTML e JavaScript, o que torna a página dinâmica e fácil de modificar. No caso de XSS baseado em DOM, o código JavaScript comprometido grava os dados no DOM. Assim como no XSS refletido, um usuário o inicia clicando em um link comprometido. Nesse caso, os hackers ocultam o código malicioso muito mais profundamente no código, para que ele não possa ser rastreado apenas verificando o URL. Você teria que verificar o código do site para identificá-lo.
Auto-XSS
O ataque auto-XSS não depende de um site vulnerável – em vez disso, ele engana os usuários para injetar um script malicioso em seus próprios navegadores. Normalmente, os criminosos cibernéticos empregam táticas de engenharia social para isso. Por exemplo, eles podem persuadir um usuário a inserir um código em seu navegador prometendo que isso permitirá que ele acesse outra conta com benefícios extras. No entanto, isso apenas permite que o hacker roube a conta da vítima.
Prevenção de script entre sites
Os ataques XSS estão bem escondidos no nível do código, então você pode não notar um por muito tempo. O que é pior, os proprietários de sites vulneráveis também frequentemente identificam o XSS tarde demais. No entanto, como sempre, existem algumas medidas para evitá-lo:
Sempre use o software de segurança mais atualizado e confiável, que pode bloquear automaticamente a entrada em sites maliciosos;
Sempre atualize seu navegador para certificar-se de usar a versão mais recente. Certifique-se de que seu navegador tenha recursos de segurança anti-XSS;
Não abra links suspeitos, mesmo que pareçam legítimos à primeira vista. Sempre verifique corretamente a URL para ver se não há nada incomum lá;
Sempre entre em contato com as pessoas por trás de um site se notar algo suspeito (por exemplo, você não consegue fazer login com suas credenciais habituais, vê algumas compras que não fez, etc.).
