XSS Street-Fight, documento explicando o funcionamento de ataques de Cross Site Scripting

Ryan Barnett, pesquisador de segurança na SpiderLabs, compilou um documento explicando o funcionamento de ataques de Cross Site Scripting (XSS) em detalhes, listando ainda métodos para se proteger deste tipo de ataque, dentre elas:

  1. Input Validation (Whitelist/Blacklist Filtering)
  2. Generic Attack Payload Detection
  3. Identifying Improper Output Handling Flaws (Dynamic Taint Propagation)
  4. Application Response Profiling (Monitoring the number of scripts/iFrames)
  5. JavaScript Sandbox Injection (ModSecurity’s Content Injection Capabilities)

O documento com 69 páginas também mostra como a Apache.org sofreu o ataque XSS que permitiu o vazamento de dados dos usuários. Para ler o artigo, clique aqui.