XSS Armazenado
O que é XSS Armazenado?
XSS ArmazenadoVulnerabilidade persistente de cross-site scripting: o script do atacante é guardado no servidor e executado no navegador de cada visitante.
O XSS armazenado (ou persistente) ocorre quando uma aplicação aceita entrada não confiável, grava-a numa base de dados, sistema de ficheiros ou log, e mais tarde a renderiza em HTML sem codificação de saída adequada. Como a carga reside no servidor, qualquer utilizador que visite a página afetada executa automaticamente o script, tornando-o uma das falhas web de maior impacto. Alvos típicos incluem campos de comentário, perfis, avaliações e painéis administrativos que mostram logs. As defesas combinam codificação de saída sensível ao contexto, uma Content Security Policy rigorosa, validação de entrada e bibliotecas de sanitização como o DOMPurify.
● Exemplos
- 01
Comentário de blog contendo <script>fetch('/api/me').then(...)</script> que executa para cada leitor.
- 02
O atacante guarda uma carga no nome do perfil, executando no painel de administração que lista utilizadores.
● Perguntas frequentes
O que é XSS Armazenado?
Vulnerabilidade persistente de cross-site scripting: o script do atacante é guardado no servidor e executado no navegador de cada visitante. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa XSS Armazenado?
Vulnerabilidade persistente de cross-site scripting: o script do atacante é guardado no servidor e executado no navegador de cada visitante.
Como se defender contra XSS Armazenado?
As defesas contra XSS Armazenado costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para XSS Armazenado?
Nomes alternativos comuns: XSS Persistente, XSS Tipo 2.