Segurança em aplicações

WebCSRF (Cross-Site Request Forgery)

XSS (Cross-Site Scripting)

O que é CSRF ?

• CSRF é um tipo de exploração maliciosa de um website pelo qual comandos não autorizados são transmitidos de um usuário que confia no website.

Exemplo• Aqui está um site bancário simples que eu

escrevi.

Exemplo• O site corretamente bloqueia usuários não

autenticados de tomar qualquer ação. Você pode ver que no código abaixo:

Exemplo• Após o login, temos um formulário simples que nos permite

transferir dinheiro para outra conta no banco.

Exemplo• Observem o envio da informação:

Exemplo• Ataque CSRF entra em ação.

Exemplo• Informação enviada pelo Ataque CSRF:

Resultado• O resultado final é que perdi de R$1000 e “Espertinho” fez sua conta bancária aumentar em R$ 1000.

Qual a solução para resolvermos este

problema?

Simples, basta seguir os seguintes passos.

XSS – Cross-site Scripting

O que é ?• Cross-site scripting (XSS) é um tipo de

vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro das páginas web vistas por outros usuários.

Exemplo

Exemplo

Como evitar isso ?

Solução

Solução

Solução

Dúvidas ?

Referências• http://www.itorian.com/2013/02/avoiding-cross-sit

e-scripting-xss.html• http://blogs.msdn.com/b/sfaust/archive/2010/04/2

8/using-validaterequest-to-detect-when-xss-is-occuring.aspx

• http://haacked.com/archive/2009/04/02/anatomy-of-csrf-attack.aspx 

• http://haacked.com/archive/2011/10/10/preventing-csrf-with-ajax.aspx 

Obrigado!