XSS (Cross site scripting)
•
1 j'aime•814 vues
O documento discute o ataque de injeção de script entre sites (XSS), explicando que ele insere JavaScript malicioso na página para roubar informações ou assumir o controle da sessão do usuário. Ele também fornece dicas para prevenir esses ataques, como substituir caracteres especiais antes de exibir dados do usuário e tratar sempre a entrada do usuário antes de usá-la.
Signaler
Partager
Signaler
Partager
Recommandé
A Arte do Deployment - WebDevCamp
O documento discute técnicas de dimensionamento e monitoramento de aplicações web. Ele apresenta ferramentas como Nginx, Mongrel, Httperf e Monit para balanceamento de carga e escalabilidade. Também aborda soluções de monitoramento como Nagios, Ganglia e Munin para acompanhar métricas de desempenho e carga dos servidores.
PhantomJS - O Fantasminha Camarada
O documento descreve o PhantomJS, um "browser" sem interface gráfica que roda no console e permite executar testes funcionais de JavaScript e acessar e manipular páginas web. Ele suporta padrões web como DOM, CSS e JSON e pode ser usado com frameworks de teste como Jasmine ou para integrar testes com Capybara no Ruby.
Martini. O Um framework web para Go
O Martini é um framework web simples para Go que fornece rotas, handlers e integração com pacotes nativos de forma não intrusiva, com uma comunidade ativa e conjuntos de pacotes contribuídos.
Como lidar com cargas de trabalho mistas - PostgreSQL
Slides da palestra “Como lidar com cargas de trabalho mistas”, apresentada por Flavio Gurgel no PGBR 2013.
Cross Site Scripting - XSS
O documento discute o ataque de Cross Site Scripting (XSS), onde um atacante usa códigos maliciosos em scripts no navegador para roubar cookies ou enganar usuários. Isso permite o controle da sessão da vítima e outros ataques. O documento explica como evitar XSS através da validação de parâmetros e codificação de saídas do usuário.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/Prevenindo XSS: Execute apenas o SEU código
Este documento discute a vulnerabilidade de Cross-Site Scripting (XSS) em aplicações web e formas de preveni-la. XSS permite que código cliente seja injetado e processado na saída de uma aplicação, possibilitando ataques repetitivos que podem levar a defacement de sites, phishing e roubo de dados. Apresenta causas técnicas e não-técnicas de vulnerabilidades XSS e soluções como filtrar dados de entrada e saída para remover tags HTML e codificar caracteres especiais.
Web Application Security
The document summarizes key points about web application security vulnerabilities and how to address them. It discusses common vulnerabilities like parameter manipulation, cross-site scripting, and SQL injection that occur due to improper validation of user input. It emphasizes the importance of validating all user input on the server-side to prevent attacks, and not storing sensitive values in cookies or hidden form fields that can be manipulated by attackers.
Recommandé
A Arte do Deployment - WebDevCamp
O documento discute técnicas de dimensionamento e monitoramento de aplicações web. Ele apresenta ferramentas como Nginx, Mongrel, Httperf e Monit para balanceamento de carga e escalabilidade. Também aborda soluções de monitoramento como Nagios, Ganglia e Munin para acompanhar métricas de desempenho e carga dos servidores.
PhantomJS - O Fantasminha Camarada
O documento descreve o PhantomJS, um "browser" sem interface gráfica que roda no console e permite executar testes funcionais de JavaScript e acessar e manipular páginas web. Ele suporta padrões web como DOM, CSS e JSON e pode ser usado com frameworks de teste como Jasmine ou para integrar testes com Capybara no Ruby.
Martini. O Um framework web para Go
O Martini é um framework web simples para Go que fornece rotas, handlers e integração com pacotes nativos de forma não intrusiva, com uma comunidade ativa e conjuntos de pacotes contribuídos.
Como lidar com cargas de trabalho mistas - PostgreSQL
Slides da palestra “Como lidar com cargas de trabalho mistas”, apresentada por Flavio Gurgel no PGBR 2013.
Cross Site Scripting - XSS
O documento discute o ataque de Cross Site Scripting (XSS), onde um atacante usa códigos maliciosos em scripts no navegador para roubar cookies ou enganar usuários. Isso permite o controle da sessão da vítima e outros ataques. O documento explica como evitar XSS através da validação de parâmetros e codificação de saídas do usuário.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/Prevenindo XSS: Execute apenas o SEU código
Este documento discute a vulnerabilidade de Cross-Site Scripting (XSS) em aplicações web e formas de preveni-la. XSS permite que código cliente seja injetado e processado na saída de uma aplicação, possibilitando ataques repetitivos que podem levar a defacement de sites, phishing e roubo de dados. Apresenta causas técnicas e não-técnicas de vulnerabilidades XSS e soluções como filtrar dados de entrada e saída para remover tags HTML e codificar caracteres especiais.
Web Application Security
The document summarizes key points about web application security vulnerabilities and how to address them. It discusses common vulnerabilities like parameter manipulation, cross-site scripting, and SQL injection that occur due to improper validation of user input. It emphasizes the importance of validating all user input on the server-side to prevent attacks, and not storing sensitive values in cookies or hidden form fields that can be manipulated by attackers.
Monitorando sistemas distribuidos
O documento discute a evolução da arquitetura de sistemas, de centralizados para distribuídos, e como isso impacta o monitoramento. Apresenta como sistemas antigamente eram constituídos por aplicações e bancos de dados em um servidor, e hoje são microserviços e nanoserviços distribuídos. Explica que é necessário monitorar cada componente e métricas como uso da CPU, memória, disco e rede para garantir desempenho e disponibilidade do sistema.
Kubernetes - ThoughtWorks Tech Radar 18
Slides apresentados no lançamento do TechRadar 18 da ThougfhtWorks em Porto Alegre.
Kubernetes foi indicado como Platform / Adopt pela segunda versão consecutiva no TechRadar da ThoughtWorks.
Refatoração - XPConfBR 2015
O documento apresenta uma discussão sobre refatoração de código entre dois desenvolvedores. Apresenta os principais pontos da refatoração como melhorar o entendimento do sistema, facilitar testes e reduzir custos de manutenção. Também discute os principais desafios como falta de testes, código legado e tamanho das refatorações, além de dicas como nunca refatorar sem testes e fazer em pequenos passos.
Node.JS - Workshop do básico ao avançado
Este documento resume um workshop sobre Node.js que abrange tópicos desde a história e conceitos básicos até a criação de aplicações e deploy. O workshop inclui exemplos práticos de código e discute tópicos como JavaScript, o core do Node.js, frameworks como Express e Kraken, web sockets, e opções de deploy em nuvem ou on-premise. O objetivo é que os participantes saiam com todas as suas dúvidas sanadas.
Builds e Pipelines - A arte de automatizar a entrega de software!
Builds e Pipelines
A arte de automatizar a entrega de software!
Palestra apresentada na XPConfBR 2014.
Git para quem gosta de git
O documento apresenta uma introdução ao sistema de controle de versão Git, descrevendo suas principais funcionalidades como commits, branches, merges, log, remotes e ferramentas. O autor defende que o Git oferece vantagens em relação a outros sistemas como SVN, permitindo trabalho offline, histórico local e branches flexíveis.
NoSQL and AWS Dynamodb
This document provides an overview of AWS DynamoDB, a fully managed NoSQL database service by AWS. It discusses that DynamoDB is a key-value and document database that offers fast performance and scalability. While this comes with some tradeoffs, as DynamoDB follows the CAP theorem and sacrifices consistency in favor of availability and partition tolerance. The document also covers DynamoDB's data model, pricing, features, and limitations to provide essential information on what it is and how it works at a high level.
uMov.me API - Do básico ao avançado
O documento fornece uma introdução à API do uMov.me, explicando como ela funciona através de requisições HTTP, XML e conceitos REST para permitir a integração e automação de tarefas no sistema. A API permite pesquisar, visualizar e manter dados como agentes e itens, bem como realizar outras operações avançadas.
Memória e Garbage Collection na JVM
O documento discute as estratégias de garbage collection na JVM, incluindo reference counting, mark and sweep e generational copying. A estratégia generational copying divide a memória em young e old memory, coletando objetos não mais referenciados na young memory com mais frequência para melhorar a performance. A JVM implementa generational copying dividindo a memória em Eden, Survivor e Tenured spaces.
Chaos Report - Web Security Version
The document discusses web security threats and statistics from 2010, finding a 93% increase in web attacks, 1+ million bots, and 260+ million new malware. It also notes that 84% of websites are susceptible to one of the top 30 vulnerabilities. The document promotes the OWASP organization as helping to defend against these threats through various open source projects, guides, and a discussion group.
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
Logica de Progamacao - Aula (1) (1).pptx
A palavra
lógica está
normalmente
relacionada
com o modo
de pensar de
um indivíduo
em termos de
racionalidade
e coerência
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Segurança Digital Pessoal e Boas Práticas
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
Contenu connexe
Plus de Eduardo Bohrer
Monitorando sistemas distribuidos
O documento discute a evolução da arquitetura de sistemas, de centralizados para distribuídos, e como isso impacta o monitoramento. Apresenta como sistemas antigamente eram constituídos por aplicações e bancos de dados em um servidor, e hoje são microserviços e nanoserviços distribuídos. Explica que é necessário monitorar cada componente e métricas como uso da CPU, memória, disco e rede para garantir desempenho e disponibilidade do sistema.
Kubernetes - ThoughtWorks Tech Radar 18
Slides apresentados no lançamento do TechRadar 18 da ThougfhtWorks em Porto Alegre.
Kubernetes foi indicado como Platform / Adopt pela segunda versão consecutiva no TechRadar da ThoughtWorks.
Refatoração - XPConfBR 2015
O documento apresenta uma discussão sobre refatoração de código entre dois desenvolvedores. Apresenta os principais pontos da refatoração como melhorar o entendimento do sistema, facilitar testes e reduzir custos de manutenção. Também discute os principais desafios como falta de testes, código legado e tamanho das refatorações, além de dicas como nunca refatorar sem testes e fazer em pequenos passos.
Node.JS - Workshop do básico ao avançado
Este documento resume um workshop sobre Node.js que abrange tópicos desde a história e conceitos básicos até a criação de aplicações e deploy. O workshop inclui exemplos práticos de código e discute tópicos como JavaScript, o core do Node.js, frameworks como Express e Kraken, web sockets, e opções de deploy em nuvem ou on-premise. O objetivo é que os participantes saiam com todas as suas dúvidas sanadas.
Builds e Pipelines - A arte de automatizar a entrega de software!
Builds e Pipelines
A arte de automatizar a entrega de software!
Palestra apresentada na XPConfBR 2014.
Git para quem gosta de git
O documento apresenta uma introdução ao sistema de controle de versão Git, descrevendo suas principais funcionalidades como commits, branches, merges, log, remotes e ferramentas. O autor defende que o Git oferece vantagens em relação a outros sistemas como SVN, permitindo trabalho offline, histórico local e branches flexíveis.
NoSQL and AWS Dynamodb
This document provides an overview of AWS DynamoDB, a fully managed NoSQL database service by AWS. It discusses that DynamoDB is a key-value and document database that offers fast performance and scalability. While this comes with some tradeoffs, as DynamoDB follows the CAP theorem and sacrifices consistency in favor of availability and partition tolerance. The document also covers DynamoDB's data model, pricing, features, and limitations to provide essential information on what it is and how it works at a high level.
uMov.me API - Do básico ao avançado
O documento fornece uma introdução à API do uMov.me, explicando como ela funciona através de requisições HTTP, XML e conceitos REST para permitir a integração e automação de tarefas no sistema. A API permite pesquisar, visualizar e manter dados como agentes e itens, bem como realizar outras operações avançadas.
Memória e Garbage Collection na JVM
O documento discute as estratégias de garbage collection na JVM, incluindo reference counting, mark and sweep e generational copying. A estratégia generational copying divide a memória em young e old memory, coletando objetos não mais referenciados na young memory com mais frequência para melhorar a performance. A JVM implementa generational copying dividindo a memória em Eden, Survivor e Tenured spaces.
Chaos Report - Web Security Version
The document discusses web security threats and statistics from 2010, finding a 93% increase in web attacks, 1+ million bots, and 260+ million new malware. It also notes that 84% of websites are susceptible to one of the top 30 vulnerabilities. The document promotes the OWASP organization as helping to defend against these threats through various open source projects, guides, and a discussion group.
Plus de Eduardo Bohrer (10)
Builds e Pipelines - A arte de automatizar a entrega de software!
Builds e Pipelines - A arte de automatizar a entrega de software!
Dernier
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
Logica de Progamacao - Aula (1) (1).pptx
A palavra
lógica está
normalmente
relacionada
com o modo
de pensar de
um indivíduo
em termos de
racionalidade
e coerência
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Segurança Digital Pessoal e Boas Práticas
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
Dernier (8)
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
XSS (Cross site scripting)
- 1. XSS <script>alert(‘Cross site scripting’);</script> @nbluis http://about.me/nbluis Friday, June 14, 13
- 2. O que é ? • Tipo de ataque a um web site • Injeção de javascript malicioso • Na lista dos 3 ataques mais utilizados na internet Friday, June 14, 13
- 3. For dummies Friday, June 14, 13
- 4. Ahh, mas é client side Friday, June 14, 13
- 5. Possibilidades • Scanear a rede interna do cliente • Sequestro de sessão (session hijacking) • Key logger • Controle total da página (DOM, Scripts, etc) Friday, June 14, 13
- 6. Friday, June 14, 13
- 7. E como evitamos ? • Replace antes de salvar.... • param.replaceAll(‘<’,‘<’); • param.replaceAll(‘>’,‘>’); Friday, June 14, 13
- 8. Friday, June 14, 13
- 9. E como evitamos ? • Nunca se modifica a informação do usuário • Sempre tratamos antes de apresentar • O critério de encode depende de onde será apresentado Friday, June 14, 13
- 10. Mas isso é difícil Friday, June 14, 13
- 11. Friday, June 14, 13