Início / Blog / O que é XSS
Blog · Fundamentos

O que é XSS (Cross-Site Scripting)

Uma falha em como a página trata o que os usuários digitam pode transformar o navegador de quem visita o site em uma arma contra ele mesmo.

Em resumo

XSS (Cross-Site Scripting) é uma falha em que o atacante injeta scripts maliciosos em uma página web que acabam sendo executados no navegador de outros usuários. Com isso ele pode roubar sessões, credenciais ou dados, redirecionar a vítima ou agir em nome dela no site. Está entre os riscos do OWASP Top 10. A defesa combina escape e sanitização de dados, Content Security Policy (CSP) e testes de intrusão que encontram a falha antes do atacante.

Sempre que uma aplicação exibe conteúdo que veio de um usuário — um comentário, um nome, um parâmetro na URL — sem tratá-lo com cuidado, abre-se uma porta. Se o navegador interpretar esse conteúdo como código em vez de texto, o atacante consegue rodar o script dele na página, com todas as permissões do usuário que está ali. É esse o coração do XSS.

Os tipos de XSS

O ataque tem três variações principais, que se diferenciam por onde o script malicioso mora:

O que o atacante consegue

Rodar código no navegador da vítima, no contexto do site legítimo, dá ao atacante um poder considerável:

Navegador
Onde o script malicioso roda
OWASP
Entre os riscos do Top 10
24/7
A vigilância que o ambiente precisa

Como prevenir

XSS é uma falha de tratamento de dados, e a defesa começa exatamente aí — reforçada por controles no navegador e por testes que confirmam que nada passou:

Onde o Argos entra

O Argos, da NoBug, faz pentest com metodologia OWASP: uma equipe testa a sua aplicação em busca de falhas como XSS, SQL Injection e os demais riscos do OWASP Top 10, e entrega um relatório claro do que corrigir e como. Todo o trabalho roda com os dados no Brasil, e o time acompanha a correção até a falha ser fechada de verdade.

Leve com você
  • XSS injeta scripts maliciosos que rodam no navegador de outros usuários da página.
  • Existem três tipos: refletido, armazenado e DOM — o armazenado é o mais perigoso.
  • Com ele o atacante rouba sessões, dados e age em nome da vítima no site.
  • Previna-se com escape e sanitização, CSP e pentest — é um risco do OWASP Top 10.

Descubra as falhas antes do atacante

O pentest OWASP do Argos testa sua aplicação em busca de XSS e outras vulnerabilidades, com os dados no Brasil. A gente entende seu cenário numa conversa rápida e monta uma proposta sob medida.