O que são ataques de cross-site scripting (XSS)?

Durante ataques de cross-site scripting (XSS), os cibercriminosos geram um código em seu site e com isso realizam ações para redirecionar usuários a um site malicioso ou então podem roubar senhas.

Caso prático

Em 2018, a British Airways sofreu ataques de XSS em que criminosos obtiveram informações sobre dados bancários de mais de 400.000 clientes.

No mesmo ano, um dos fornecedores da Ticketmaster sofreu ataques semelhantes e as consequências resultaram no vazamento de 40.000 clientes da Ticketmaster.

Se cibercriminosos conseguirem atacar com cross-site scripting (XSS) seu site, esse ataque permitirá ações maliciosas e criminosas no site. Por exemplo, terão acesso a muitas informações transmitidas ao seu site, ou seja, informações pessoais e pagamentos, mesmo se tiver criptografia SSL ativa e vigente. Mesmo que seu site não permita que os usuários incluam dados ou mesmo que tenha um site com formato de Marketing, ataques de cross-site scripting podem redirecionar usuários para páginas falsas onde os cibercriminosos atuam em atividades maliciosas, como a instalação de malware (software malicioso).

A proteção contra ataques cross-site scripting (XSS) levará a mudanças no site que, normalmente devem ser implementadas por um administrador ou engenheiro de softwares, pois seria complicado para uma pessoa que não tenha essa formação implementar. Estas mudanças incluem adicionar Content-Type e X-Content-Type-Options ao seu site e criar Políticas de segurança de conteúdo (Content Security Policy - CSP).

Verificar a seção "Segurança do site" na plataforma para sua proteção de cross-site scripting e enviar relatórios técnicos ao administrador do site para correções de quaisquer vulnerabilidades encontradas.