Injeção de código malicioso em aplicações Web: uma análise do Cross Site Scripting

Abstract

Devido ao grande número de aplicações web e o crescimento exponencial de usuários na Internet utilizando serviços de nuvem para o armazenamento de dados sigilosos, é de extrema importância que se volte a atenção para segurança dos dados que entram nas aplicações web. O presente trabalho tem por objetivo desenvolver uma análise das vulnerabilidades de aplicações web que permitem a prática de ataques de XSS (Cross Site Scripting). Estes ataques são realizados com a intenção de explorar fragilidades de entrada e saída de dados nas aplicações web que não são tratadas corretamente pelo desenvolvedor do sistema. A injeção destes códigos maliciosos é normalmente realizada utilizando a linguagem de programação Javascript. Tais vulnerabilidades possibilitam que uma pessoa mal-intencionada venha furtar informações sigilosas, redirecione o usuário para um site malicioso ou até mesmo execute ações dentro do sistema como um usuário autêntico. Serão abordados no trabalho os conceitos sobre a vulnerabilidade, as principais técnicas de injeção de código e formas de prevenção. Fornecendo assim ao leitor uma visão abrangente do assunto, estando ele apto a aplicar as técnicas preventivas do XSS em qualquer aplicação web. Este trabalho proporciona aos alunos e programadores um conhecimento amplo sobre os riscos que a ameaça do XSS pode causar nas aplicações web e a importância da aplicação de prevenções contra ela

Due to the large number of web applications and the exponential growth of Internet users using cloud services for the storage of sensitive data, it is of the utmost importance to focus attention on the security of data entering web applications. This work aims to develop a vulnerability analysis of web applications that allows the practice of attacks of XSS (Cross Site Scripting). These attacks are intended to exploit weaknesses in data entry and exit in web applications that are not properly handled by the system developer. Injection of these malicious codes is usually done using the Javascript programming language. Such vulnerabilities enables a malicious person to steal sensitive information, redirect the user to a malicious site, or even perform actions within the system as an authentic user. The concepts of vulnerability, key code injection techniques and prevention approaches will be addressed in the paper. Providing the reader with a comprehensive view of the subject, being able to apply the XSS preventive techniques in any web application. This work provides students and programmers with a comprehensive understanding of the risks that the XSS threat can cause in web applications and the importance of applying of prevention against it.