Brechas para ataques XSS ainda são freqüentes

Há alguns dias o XSSed Project, que detecta e publica informações a respeito de sites vulneráveis a ataques cross site scripting (XSS), informou que os sites das empresas Verisign, McAfee e Symantec possuíam brechas. Agora, mais uma lista de sites importantes com a brecha foi relatada.

Ataques XSS dão ao cibercriminoso a chance de inserir código não autorizado como se este estivesse em um site oficial, enganando computadores de visitantes e enviando a eles código malicioso. A técnica consegue fazer com que o site legítimo esteja hospedado num lugar e o código malicioso em outro, mas ambos são apresentados ao internauta na mesma tela, como se fosse um único site.

Segundo o site heise Security, a publicação alemã Phishmarkt encontrou 47 vulnerabilidades em páginas americanas de instituições governamentais (.gov). Embora a maior parte dos problemas se limitem aos sites de pequenos municípios, grandes agências como a CIA e páginas do governo estadual do Hawaii e da Califórnia também estão comprometidas.

As páginas militares não ficaram de fora do problema: especialistas ainda encontraram oito brechas em sites com domínio .mil, como páginas a respeito do treinamento do exército americano, por exemplo.

Uma lista com demonstração dos ataques é oferecida pela Wired-Security, que afirma que a motivação para o relatório é mostrar quão inseguros sites são e oferecer os resultados gratuitamente a qualquer interessado, assim empresas poderão utilizar as informações para resolver os problemas expostos.