Outros Assuntos

Cross Site Scripting (XSS)

Benedito Silva Júnior Benedito Silva Júnior 08/12/2021

O Cross Site Scripting (XSS) é um dos ataques mais comuns e perigosos contra aplicações web. Ele permite que atacantes injetem scripts maliciosos em páginas vistas por outros usuários, abrindo portas para roubo de dados, redirecionamentos indesejados e até controle completo da conta de um usuário. Entender como esse ataque funciona e como preveni-lo é crucial para manter seu site seguro.

O que é XSS?

O XSS é uma vulnerabilidade que permite a injeção de código malicioso, geralmente em JavaScript, em um site ou aplicação web. Quando um usuário acessa a página comprometida, o script malicioso é executado no navegador, sem que ele perceba. O ataque pode ser usado para roubar informações sensíveis (como cookies de sessão), realizar ações em nome do usuário (como login ou envio de formulários), ou manipular o conteúdo da página.

Existem três tipos principais de XSS:

  1. XSS Refletido (Reflected XSS): O código malicioso é injetado em uma solicitação HTTP (como uma URL ou formulário) e refletido diretamente no conteúdo da página, sendo executado no navegador da vítima;

  2. XSS Armazenado (Stored XSS): O código é armazenado permanentemente no servidor (em bancos de dados, por exemplo) e exibido a todos os usuários que acessarem a página infectada;

  3. XSS baseado em DOM (DOM-based XSS): O código é injetado diretamente no Document Object Model (DOM) da página, manipulando dinamicamente seu conteúdo no lado do cliente, sem passar pelo servidor.

Como funciona um ataque XSS?

Um exemplo simples de ataque XSS refletido pode ocorrer em uma página que exibe dados diretamente de uma entrada do usuário sem a devida validação. Imagine que seu site possui um campo de pesquisa, e os resultados exibem a pesquisa feita pelo usuário:

<?php
    $query = $_GET['query'];
    echo "Você pesquisou por: " . $query;
?>

Se um invasor inserir a seguinte URL:

https://www.seusite.com?query=<script>alert('XSS!')</script>

O navegador da vítima exibirá uma caixa de alerta ao carregar a página, porque o código JavaScript inserido foi executado diretamente. Um script mais avançado poderia roubar cookies de autenticação ou redirecionar o usuário para sites maliciosos.

Impacto do XSS

Os ataques de XSS podem ter consequências devastadoras, como:

  • Roubo de informações confidenciais: Cookies de sessão, tokens de autenticação, informações pessoais;

  • Controle de contas de usuários: O atacante pode realizar ações em nome da vítima;

  • Modificação de conteúdo: Manipulação visual ou funcional de páginas;

  • Propagação de malwares: Distribuição de scripts que infectam o navegador do usuário.

Como prevenir XSS

Prevenir ataques de XSS envolve uma série de boas práticas na sanitização de entradas e na codificação correta de saídas. Aqui estão algumas das melhores práticas:

1. Sanitização de entradas

Sempre sanitize as entradas de usuários antes de processá-las ou exibi-las. Para entradas HTML, como formulários ou parâmetros de URL, remova ou escape caracteres especiais como <, >, ", ', que podem ser usados para injetar código.

No PHP, você pode usar htmlspecialchars() para escapar esses caracteres:

<?php
$query = htmlspecialchars($_GET['query'], ENT_QUOTES, 'UTF-8');
echo "Você pesquisou por: " . $query;
?>

Isso garante que qualquer código potencialmente malicioso seja tratado como texto simples.

2. Validação no Lado do Servidor

Valide as entradas do usuário tanto no lado do cliente (via JavaScript) quanto no servidor. No entanto, nunca confie apenas na validação do lado do cliente, pois ela pode ser facilmente contornada.

3. Encoding de Saída

Sempre codifique a saída de dados dinâmicos que serão inseridos em HTML, CSS ou JavaScript. Por exemplo, ao inserir dados em HTML, escape os caracteres perigosos para evitar que o navegador interprete códigos maliciosos.

4. Cabeçalho HTTP – Content Security Policy (CSP)

O Content Security Policy (CSP) é uma defesa poderosa contra XSS. Ele permite que você defina políticas que limitam de onde scripts podem ser carregados e executados em sua página. Uma política CSP típica pode impedir que scripts injetados de fontes externas sejam executados:

Content-Security-Policy: default-src 'self'; script-src 'self';

Essa política instrui o navegador a permitir scripts apenas do próprio domínio, bloqueando scripts injetados de fora.

5. Use frameworks seguros

Frameworks de desenvolvimento modernos como React ou Angular já vêm com proteções embutidas contra XSS, automaticamente escapando e sanitizando a maioria das entradas e saídas. Usar essas ferramentas reduz significativamente o risco de XSS em sua aplicação.

O Cross Site Scripting (XSS) é uma das vulnerabilidades mais perigosas em aplicações web, mas pode ser evitado com práticas seguras de codificação. A sanitização correta de entradas, o uso de encoding de saída e a aplicação de políticas de segurança como o CSP são essenciais para manter seu site seguro.

QUER APRENDER PHP ORIENTADO A OBJETOS OU APERFEIÇOAR O QUE JÁ SABE?

Então conheça o curso online que já ajudou milhares de pessoas a aprender a programar e desenvolver seus próprios projetos do ZERO e usando orientação a objetos de uma forma fácil de entender.

CLIQUE NA IMAGEM ABAIXO E SAIBA MAIS:

CLIQUE AQUI E SAIBA MAIS

Dúvidas ou sugestões sobre Cross Site Scripting (XSS)? Deixem nos comentários! Para mais dicas, acesse o nosso canal no YouTube:
https://youtube.com/criandobits

Tags:

Artigos Relacionados

Elementos gráficos em HTML Elementos gráficos em HTML
Bordas em CSS Bordas em CSS
Intenção (intent) em Android Intenção (intent) em Android
Como criar formulário de contato com PHP Como criar formulário de contato com PHP

Sobre o Autor

Benedito Silva Júnior
Benedito Silva Júnior

Bacharel em Sistemas de Informação pelo Instituto Paulista de Pesquisa e Ensino IPEP. Apaixonado por tecnologias e games do tempo da vovó!

0 Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *