Uma técnica de ataque conhecida por "cross-site scripting" está sendo utilizada no site do Banco Itaú.

O "cross-site scripting" ocorre quando uma página WEB não checa adequadamente o conteúdo de uma URL específica. Eventualmente, esta URL pode conter códigos maliciosos incluído por um Cracker e o mesmo ser executado.

A conseqüência deste ataque pode resultar na exploração da ingenuidade humana. Ou seja, o Cracker poderá clonar o site do Banco Itaú e enviar por e-mail uma mensagem informando aos correntistas acessarem o link http://ww13.itau.com.br/novori/port/index.htm?http://www.iitau.com.br. Podemos analisar que o site http://www.iitau.com.br não existe, mas poderia ser explorado por um Cracker.

A utilização desta técnica requer condições específicas, por exemplo, que o atacante conheça de antemão quais sites são considerados confiáveis pelo usuário ou que os cookies do site contenham informações sigilosas que possam ser lidas e exploradas, o que se vê fortemente dificultado se o usuário seguir as práticas de segurança recomendadas.

Para testar a técnica, acesse: http://ww13.itau.com.br/novori/port/index.htm?http://www.cert.org/advisories/CA-2000-02.html

Neste exemplo, estamos acessando o site verdadeiro do Banco Itaú  e redirecionando para o site que descreve como explorar a vulnerabilidade. A técnica pode ser feita em qualquer outro site, basta remover o link do Cert e colocar (caminho absoluto) o link de outro site.

Através desta técnica é possível seqüestrar a sessão da vítima através de JavaScript, injetar códigos HTML maliciosos com o objetivo de um ataque de negação de serviços (DoS) ou até mesmo apagar as informações que estão no banco de dados do site.

Autor: Denny Roger