As vulnerabilidades de script entre estruturas ocorrem quando um aplicativo:

1. Permite a própria inclusão em um iframe.
2. Falha em especificar a política de estruturação por meio do cabeçalho X-Frame-Options.
3. Usa proteção fraca, como a lógica de redução de estrutura baseada em JavaScript.

Vulnerabilidades de geração de scripts entre quadros muitas vezes formam a base de explorações do tipo clickjacking, que os invasores podem usar para conduzir uma falsificação de solicitações entre sites ou ataques de phishing.

O HTML5 fornece mapas localStorage e sessionStorage para permitir aos desenvolvedores manterem os valores do programa. O mapa sessionStorage fornece armazenamento à página de chamada e permanece apenas pela duração da instância de página e da sessão imediata do navegador. O mapa localStorage, no entanto, fornece um armazenamento acessível por meio de várias instâncias de página e várias instâncias de navegador. Essa funcionalidade permite a um aplicativo persistir e utilizar a mesma informação em várias guias ou janelas do navegador.

Por exemplo, um desenvolvedor pode desejar utilizar várias guias ou instâncias do navegador em um aplicativo de viagem que quer permitir a um usuário abrir várias guias para comparar acomodações enquanto mantém os critérios de pesquisa originais do usuário. Na situação tradicional de armazenamento HTTP, o usuário arrisca compras e decisões deitas em uma guia (e armazenadas na sessão ou nos cookies), interferindo com as compras em uma outra guia.

Com a capacidade de utilizar os valores do usuário em várias guias do navegador, os desenvolvedores devem ter cuidado para não mover informações confidenciais do escopo de sessionStorage para o localStorage ou vice-versa.

Exemplo: Este exemplo armazena as informações CCV de cartão de crédito na sessão para indicar que um usuário já autorizou o site a cobrar do cartão armazenado em arquivo por uma compra. Para cada tentativa de compra no contexto da guia do navegador, a aprovação do cartão de crédito é exigida. Para evitar que a CCV seja inserida novamente, as informações são armazenadas no objeto sessionStorage. No entanto, o desenvolvedor também armazena as informações no objeto localStorage.

...
try {
    sessionStorage.setItem("userCCV", currentCCV);
} catch (e) {
    if (e == QUOTA_EXCEEDED_ERR) {
        alert('Quota exceeded.');
    }
    }

    ...
    ...

    var retrieveObject = sessionStorage.getItem("userCCV");
try {
     localStorage.setItem("userCCV",retrieveObject);
} catch (e) {
     if (e == QUOTA_EXCEEDED_ERR) {
        alert('Quota exceeded.');
	}
     ...

     var userCCV = localStorage.getItem("userCCV");
...
}
...

Ao colocar as informações de volta no objeto localStorage, as informações CCV estarão agora disponível em outras guias do navegador e também em novas invocações do browser. Isso ignorará a lógica do aplicativo para o fluxo de trabalho pretendido.

Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) ocorre quando:
1. Um aplicativo da Web usa cookies de sessão.
2. O aplicativo atua em uma solicitação HTTP sem verificar se ela foi feita com o consentimento do usuário.

Exemplo 1: No seguinte exemplo, um aplicativo Web permite que os administradores criem novas contas:

  RequestBuilder rb = new RequestBuilder(RequestBuilder.POST, "/new_user");
  body = addToPost(body, new_username);
  body = addToPost(body, new_passwd);
  rb.sendRequest(body, new NewAccountCallback(callback));

Um invasor pode configurar um site mal-intencionado que contém o código a seguir.

  RequestBuilder rb = new RequestBuilder(RequestBuilder.POST, "http://www.example.com/new_user");
  body = addToPost(body, "attacker";
  body = addToPost(body, "haha");
  rb.sendRequest(body, new NewAccountCallback(callback));

Se um administrador de example.com acessar a página mal-intencionada enquanto tiver uma sessão ativa no site, criará involuntariamente uma conta para o invasor. Isso é um ataque de CSRF. Ele é possível porque o aplicativo não tem como determinar a procedência da solicitação. Qualquer solicitação pode ser uma ação legítima escolhida pelo usuário ou uma ação falsa criada por um invasor. O invasor não chega a ver a página da Web gerada pela solicitação falsa e, portanto, a técnica de ataque é útil somente para solicitações que alteram o estado do aplicativo.

Aplicativos que transmitem o identificador de sessão na URL em vez de como um cookie não têm problemas de CSRF, pois não há como o invasor acessar o identificador de sessão e incluí-lo como parte da solicitação falsa.

Algumas estruturas incluem automaticamente nonces CSRF para proteger aplicativos. Se você desabilitar esse recurso, o aplicativo poderá ser exposto a riscos.

Exemplo 2: Esse aplicativo protegido do Spring Security desabilita explicitamente a proteção contra CSRF.

	<http auto-config="true">
        ...
        <csrf disabled="true"/>
	</http>

Quando os sites precisam ser capazes de servir downloads para os usuários, a opção para abri-los significa que qualquer arquivo executado no navegador pode ser aberto no navegador atual no mesmo contexto de segurança do site.
Se um invasor for capaz de manipular os arquivos baixados, ele poderá inserir HTML ou scripts que são executados no navegador para agir como um ataque de cross-site scripting, roubando ou manipulando informações na sessão atual.

Exemplo 1: O seguinte exemplo desabilita explicitamente as proteções contra downloads servidos em execução no navegador:

var express = require('express');
var app = express();
var helmet = require('helmet');

app.use(helmet({
    ieNoOpen: false
}));
...

O sequestro de WebSocket entre sites ocorre quando um usuário é levado a visitar um site mal-intencionado que estabelecerá uma conexão WebSocket com um servidor de back-end legítimo. A solicitação HTTP inicial usada para solicitar ao servidor a atualização para o protocolo WebSocket é uma solicitação HTTP regular e, portanto, o navegador enviará todos os cookies associados ao domínio de destino, incluindo cookies de sessão. Se o servidor não conseguir verificar o cabeçalho Origin, ele permitirá que qualquer site mal-intencionado represente o usuário e estabeleça uma conexão WebSocket bidirecional sem o usuário sequer perceber.

O aplicativo usa uma lista de bloqueios exclude. Isso é difícil de manter e está sujeito a erros. Caso os desenvolvedores adicionem novos campos ao formulário ou um Model que faça backup do formulário e esqueçam de atualizar o filtro exclude, eles poderão expor campos confidenciais aos atacantes. Os atacantes serão capazes de enviar e vincular dados maliciosos a qualquer campo não excluído.

Exemplo 1: O formulário a seguir expõe alguns atributos de User, porém verifica uma lista de bloqueios para o id do usuário:

from myapp.models import User
...
class UserForm(ModelForm):
  class Meta:
    model = User
    exclude = ['id']
...

Se o modelo User foi atualizado com um novo atributo role e o UserForm associado não foi atualizado, o atributo role será exposto no formulário.

Erros de Execução de Scripts entre Zonas com Base em Arquivo ocorrem quando as seguintes condições são atendidas:

1. É carregado um arquivo capaz de permitir que scripts sejam executados dentro do seu aplicativo

2. O script carregado é considerado como sendo da mesma origem que o aplicativo em execução.

Quando essas duas condições são atendidas, uma série de ataques pode ser habilitada, especialmente se outras partes determinarem a confiança com base em se as informações são provenientes dos limites do seu aplicativo.

Exemplo 1: O código a seguir usa uma WebView do Android a fim de carregar um arquivo localmente:

...
myWebView.loadUrl("file:///android_asset/www/index.html");
...

No Example 1, o renderizador WebView do Android trata todo o conteúdo carregado com loadUrl(), com uma URL começando com "file://" como estando na mesma origem.

Existem algumas maneiras típicas de um invasor se aproveitar de uma vulnerabilidade de Criação de Script entre Zonas com Base em Arquivo ao carregar um arquivo:
- o arquivo local pode ser manipulado por um invasor, que pode injetar script nesse arquivo.
Isso dependerá de permissões de arquivo, na localização do arquivo ou em condições de corrida, nas quais um arquivo pode ser salvo e então carregado (pode haver uma janela de tempo para modificação).

- o arquivo pode ser chamado para um recurso externo.
Isso pode ocorrer quando o arquivo carregado recupera scripts de um recurso externo.

Exemplo 2: O código a seguir examina uma fonte externa para determinar o JavaScript que ele deve executar.

  <script src="http://www.example.com/js/fancyWidget.js"></script>

No Example 2, está sendo usado um protocolo não seguro que poderia permitir que o script resultante seja modificado por um agente mal-intencionado. Como alternativa, outros ataques podem ser realizados para reencaminhar a máquina ao site de um invasor.

- o arquivo carregado pode conter vulnerabilidades de criação de scripts entre sites.
Se o arquivo que está sendo carregado for capaz de ter código injetado, este talvez possa ser executado no contexto do seu aplicativo. Esta pode não ser necessariamente a capacidade de injetar JavaScript, mas a simples capacidade de injetar HTML também pode permitir invasões ou ataques de Negação de Serviço.

Por padrão, aplicativos Flash estão sujeitos à Política de Mesma Origem, que garante que dois aplicativos SWF possam acessar os dados um do outro somente se forem provenientes do mesmo domínio. O Adobe Flash permite que os desenvolvedores alterem essa política programaticamente ou por meio das configurações apropriadas no arquivo de configuração crossdomain.xml. No entanto, é necessário tomar precauções ao alterar as configurações, pois uma política entre domínios excessivamente permissiva permitirá que um aplicativo mal-intencionado se comunique com o aplicativo vítima de modo impróprio, resultando em falsificação, roubo de dados, retransmissão e outros ataques.

Exemplo 1: O trecho a seguir é um exemplo de uso de um caractere curinga para especificar programaticamente os domínios com os quais o aplicativo tem permissão para se comunicar.

   flash.system.Security.allowDomain("*");

O uso de * como argumento para allowDomain() indica que os dados do aplicativo estão acessíveis a outros aplicativos SWF de qualquer domínio.

Por padrão, aplicativos Flash estão sujeitos à Política de Mesma Origem, que garante que dois aplicativos SWF possam acessar os dados um do outro somente se forem provenientes do mesmo domínio. O Adobe Flash permite que os desenvolvedores alterem essa política programaticamente ou por meio das configurações apropriadas no arquivo de configuração crossdomain.xml. A partir do Flash Player 9.0.124.0, a Adobe também introduziu a capacidade de definir quais cabeçalhos personalizados o Flash Player pode enviar entre domínios. No entanto, é preciso ter cuidado ao definir essas configurações porque uma política de cabeçalhos personalizados excessivamente permissiva, quando aplicada junto com a política de vários domínios excessivamente permissiva, permitirá que um aplicativo mal-intencionado envie cabeçalhos de sua escolha para o aplicativo de destino, levando, possivelmente, a um variedade de ataques ou causando erros na execução do aplicativo que não saberá como tratar os cabeçalhos recebidos.

Exemplo 1: A configuração a seguir mostra o uso de um caractere curinga para especificar quais cabeçalhos o Flash Player pode enviar entre domínios.

  <cross-domain-policy>
    <allow-http-request-headers-from domain="*" headers="*"/>
  </cross-domain-policy>

Usar * como o valor do atributo de headers indica que qualquer cabeçalho será enviado entre domínios.

Por padrão, aplicativos Flash estão sujeitos à Política de Mesma Origem, que garante que dois aplicativos SWF possam acessar os dados um do outro somente se forem provenientes do mesmo domínio. O Adobe Flash permite que os desenvolvedores alterem essa política programaticamente ou por meio das configurações apropriadas no arquivo de configuração crossdomain.xml. No entanto, é necessário tomar precauções ao decidir quem pode influenciar as configurações, pois uma política entre domínios excessivamente permissiva permitirá que um aplicativo mal-intencionado se comunique com o aplicativo vítima de modo impróprio, resultando em falsificação, roubo de dados, retransmissão e outros ataques. Vulnerabilidades de desvio de restrições de política ocorrem quando:

1. Os dados entram no aplicativo por uma fonte não confiável.

2. Os dados são utilizados para carregar ou modificar configuração de política entre domínios.
Exemplo 1: O código a seguir usa o valor de um dos parâmetros para o arquivo SWF carregado como a URL a partir da qual carregar o arquivo de política entre domínios.

   ...
   var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
   var url:String = String(params["url"]);
   flash.system.Security.loadPolicyFile(url);
   ...

Exemplo 2: O código a seguir usa o valor de um dos parâmetros para o arquivo SWF carregado com o objetivo de definir a lista de domínios confiáveis.

   ...
   var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
   var domain:String = String(params["domain"]);
   flash.system.Security.allowDomain(domain);
   ...

A partir do Flash Player 7, aplicativos SWF carregados via HTTP não podem acessar dados de aplicativos SWF carregados via HTTPS por padrão. O Adobe Flash permite que os desenvolvedores alterem essa restrição programaticamente ou por meio das configurações apropriadas no arquivo de configuração crossdomain.xml. No entanto, é necessário tomar precauções ao definir essas configurações, pois aplicativos SWF carregados via HTTP estão sujeitos a ataques do tipo MITM (man-in-the-middle) e, portanto, não devem ser confiáveis.

Exemplo: O código a seguir chama allowInsecureDomain(), que desativa a restrição que impede aplicativos SWF carregados via HTTP de acessar os dados de aplicativos SWF carregados via HTTPS.

   flash.system.Security.allowInsecureDomain("*");

Uma prática comum de desenvolvimento é adicionar um código de “backdoor” projetado especificamente para fins de depuração ou de testes, sem o objetivo de implementá-lo com o aplicativo. Quando esse tipo de código for deixado acidentalmente no aplicativo, o aplicativo estará sujeito a modos de interação imprevistos. Os pontos de entrada de backdoor representam riscos de segurança, uma vez que não são considerados durante o projeto ou os testes do aplicativo e estão fora das condições operacionais esperadas.

O GraphiQL é uma ferramenta no navegador que aproveita o mecanismo de introspecção de esquema do GraphQL para fornecer uma interface gráfica para desenvolvimento e teste da API do GraphQL. O GraphiQL auxilia os usuários na exploração de esquemas do GraphQL, bem como na composição e execução de consultas do GraphQL.

Não é recomendado permitir acesso ao GraphiQL em produção, pois habilitar a introspecção de seus esquemas do GraphQL por meio do GraphiQL pode representar um risco para sua postura geral de segurança. Um invasor pode usar o GraphiQL e a introspecção para obter os detalhes de implementação de um esquema do GraphQL que permitem realizar um ataque mais direcionado. Os esquemas do GraphQL podem vazar informações, como campos usados internamente, descrições e notas de descontinuação, que podem não ser destinadas ao consumo público.

Exemplo 1: O código a seguir inicializa um endpoint do GraphQL.js com o GraphiQL habilitado por padrão:

app.use('/graphql', graphqlHTTP({
    schema
}));

O recurso de introspecção do GraphQL permite que qualquer pessoa consulte um servidor GraphQL para obter informações sobre o esquema atual. Uma parte interessada pode emitir consultas de introspecção do GraphQL para recuperar uma visão completa das operações, tipos de dados, campos e documentação disponíveis de um esquema.

A introspecção do GraphQL oferece uma utilidade significativa no contexto de desenvolvimento e compartilhamento de informações sobre APIs do GraphQL. A introspecção é um recurso poderoso do GraphQL que pode facilitar a integração com várias ferramentas. Por exemplo, um IDE pode aproveitar a introspecção de esquema para fornecer recursos aprimorados que desenvolvem e testam APIs do GraphQL.

No entanto, permitir que qualquer pessoa consulte seus esquemas do GraphQL em produção pode representar um risco para sua postura geral de segurança. Um invasor pode usar a introspecção para obter os detalhes de implementação de um esquema do GraphQL que permitem realizar um ataque mais direcionado. Os esquemas do GraphQL podem vazar informações, como campos usados internamente, descrições e notas de descontinuação, que podem não ser destinadas ao consumo público.

Exemplo 1: O seguinte código inicializa um endpoint GraphQL Hot Chocolate com a introspecção de esquema habilitada por padrão:

    services
        .AddGraphQLServer()
        .AddQueryType<Query>()
        .AddMutationType<Mutation>();
    

Incluir conteúdo executável de outro site é uma proposta arriscada. Isso vincula a segurança do seu site à segurança do outro site.

Exemplo: Considere a seguinte tag script.

  <script src="http://www.example.com/js/fancyWidget.js"></script>

Se essa tag aparecer em um site diferente de www.example.com, esse site dependerá de www.example.com para apresentar o código correto e não mal-intencionado. Se os invasores puderem comprometer www.example.com, eles poderão alterar o conteúdo de fancyWidget.js para corromper a segurança do site. Por exemplo, eles poderiam adicionar código a fancyWidget.js para roubar dados confidenciais de um usuário.

Os programadores geralmente confiam no conteúdo de campos ocultos, esperando que os usuários não sejam capazes de visualizar esses campos ou de manipular seu conteúdo. Os invasores violarão essas suposições. Eles vão examinar os valores gravados em campos ocultos e alterá-los ou substituir o conteúdo por dados de ataque.

Exemplo:

  Hidden hidden = new Hidden(element);

Se campos ocultos contiverem informações confidenciais, estas serão armazenadas em cache da mesma forma que o restante da página. Isso pode fazer com que informações confidenciais sejam escondidas no cache do navegador sem o conhecimento do usuário.

Uma das características do HTML5 é a capacidade de armazenar dados em um banco de dados SQL do lado do cliente. A principal informação necessária para iniciar a gravação e a leitura do banco de dados é o nome dele. Portanto, é crucial que o nome do banco de dados seja uma cadeia única diferente para cada usuário. Se o nome do banco de dados for fácil de adivinhar, terceiros não autorizados, como outros usuários, podem ser capazes de roubar dados confidenciais ou corromper as entradas do banco de dados.
Exemplo: Este código usa um nome de banco de dados fácil de adivinhar:

...
var db = openDatabase('mydb', '1.0', 'Test DB', 2 * 1024 * 1024);
...

Este código será executado com sucesso, mas qualquer pessoa que possa adivinhar o nome do banco de dados como 'mydb' pode acessá-lo.

A Content Security Policy (CSP) é um cabeçalho de segurança declarativa que permite que os desenvolvedores estipulem de quais domínios o site tem permissão para fazer o upload de conteúdo ou para iniciar conexões durante a renderização no navegador da web. Isso fornece uma camada adicional de segurança contra vulnerabilidades críticas, como criação de script entre sites, clickjacking, acesso entre origens e similares, sobre a validação de entrada e a criação de uma lista de permissões no código. Um cabeçalho configurado incorretamente, no entanto, deixa de fornecer essa camada adicional de segurança. A política é definida com a ajuda de quinze diretivas, incluindo oito que controlam o acesso aos recursos, a saber: script-src, img-src, object-src, style_src, font-src, media-src, frame-src, connect-src.

Cada uma delas tem uma lista de fontes uma vez que permite-se a um valor que especifica domínios do site acessar um recurso abrangido por esta diretiva. Os desenvolvedores podem usar um curinga * para indicar a totalidade ou parte da fonte. Nenhuma das diretrizes é obrigatória. Os navegadores autorizarão todas as fontes de uma diretiva não listada ou derivarão o valor delas a partir da diretiva default-src opcional. Ademais, a especificação para esse cabeçalho tem evoluído ao longo do tempo. Ela foi implementada como X-Content-Security-Policy no Firefox até a versão 23 e no IE até a versão 10, e foi implementada como X-Webkit-CSP no Chrome até a versão 25. Os dois nomes foram substituídos pelo atual nome padrão Content Security Policy. Dada a quantidade de diretivas, dois nomes alternativos obsoletos, e a forma como várias ocorrências do mesmo cabeçalho e diretivas repetidas em um único cabeçalho são tratados, há uma alta probabilidade de que um desenvolvedor possa configurar mal esse cabeçalho.

Considere as seguintes situações de configuração incorreta:

- As diretivas com unsafe-inline ou unsafe-eval torna o objetivo da CSP inútil.
- A diretiva script-src é definida mas nenhum script nonce é configurado.
- A diretiva frame-src é definida mas nenhum script sandbox é configurado.
- Várias instâncias desse cabeçalho são permitidas na mesma resposta. A equipe de desenvolvimento e a equipe de segurança podem definir um cabeçalho, mas pode-se usar um dos nomes obsoletos. Enquanto os cabeçalhos obsoletos são liquidados se um cabeçalho com o nome mais recente (ou seja, a Content Security Policy) não estiverem presentes, eles são ignorados se uma política com o nome de conteúdo de segurança de cabeçalho estiver presente. As versões mais antigas só compreendem nomes obsoletos, portanto, a fim de conquistar o apoio desejado, é essencial que a resposta inclua uma política idêntica com todos os três nomes.
- Se uma diretiva for repetida dentro da mesma instância do cabeçalho, todas as ocorrências subsequentes serão ignoradas.

Exemplo 1: Esta configuração django-csp utiliza unsafe-inline e unsafe-eval diretivas inseguras para permitir scripts embutidos e avaliação de código:

...
MIDDLEWARE_CLASSES = (
    ...
    'csp.middleware.CSPMiddleware',
    ...
)
...
CSP_DEFAULT_SRC = ("'self'", "'unsafe-inline'", "'unsafe-eval'", 'cdn.example.net')
...

A CSP (Política de Segurança de Conteúdo) é um cabeçalho de segurança declarativa que permite aos desenvolvedores ditar de quais domínios o local tem permissão para carregar conteúdo ou iniciar conexões durante a renderização no navegador da Web. Ela fornece uma camada adicional de segurança contra vulnerabilidades críticas, como cross-site scripting, clickjacking, acesso entre origens e similares, sobre a validação de entrada e a verificação de lista de permissões no código.

O Spring Security e outras estruturas não adicionam cabeçalhos da Política de Segurança de Conteúdo por padrão. O autor do aplicativo Web deve declarar as políticas de segurança a serem impostas ou monitoradas para que os recursos protegidos se beneficiem dessa camada adicional de segurança.

Se você permitir que seu site seja adicionado a um quadro, isso poderá acarretar um problema de segurança. Por exemplo, isso pode levar a vulnerabilidades de clickjacking ou permitir comunicações indesejadas entre quadros.

Por padrão, estruturas como o Spring Security incluem o cabeçalho X-Frame-Options para indicar ao navegador se o aplicativo deve ser enquadrado. Se você desabilitar ou não definir esse cabeçalho, isso poderá levar a vulnerabilidades entre quadros.

Exemplo 1: O seguinte código configura um aplicativo protegido do Spring Security para desabilitar o cabeçalho X-Frame-Options:

	<http auto-config="true">
        ...
        <headers>
            ...
            <frame-options disabled="true"/>
        </headers>
	</http>