ANÁLISE DAS TÉCNICAS DE CROSS-SITE SCRIPTING: Compreensão, simulação e prevenção

Abstract

As aplicações Web estão cada vez mais interativas e atrativas aos usuários. No entanto, as novas tecnologias que proporcionam estas funcionalidades dinâmicas geram também novas brechas as quais viabilizam novos ataques como o Cross-site Scripting (XSS). Apresentado na lista das dez vulnerabilidades mais exploradas, o XSS trata-se da injeção de scripts maliciosos em campos de entrada de dados não validados corretamente em aplicações web. Felizmente, a Open Web Application Security Project (OWASP), uma organização de segurança de aplicações, fornece informações, regras e scanners para a mitigação desta vulnerabilidade. Este estudo apresenta meios de prevenção aos ataques do tipo XSS, segundo as normas da OWASP e diretrizes de outros autores. A fim de garantir a eficácia dos meios de prevenção apresentados, realizou-se um experimento de avaliação onde as técnicas propostas foram implementadas em uma página web e escaneada pela ferramenta Zed Attack Proxy Project (ZAP) onde pode-se observar a eficácia dos métodos adotados na prevenção das vulnerabilidades. Com isso pretende-se propor métodos a serem adotados por desenvolvedores e empresas, dos quais toma-se como iniciativa o incentivo às boas práticas da segurança da informação.