web
7 artigos com esta tag
O que é CORS — como funciona e o que uma configuração incorreta expõe
O CORS é como o navegador controla se o JS de outra origem pode ler as respostas da sua API. Uma configuração incorreta — refletir qualquer Origin, ou Access-Control-Allow-Origin:* com credenciais — deixa um site de terceiros ler dados de um usuário logado. A defesa de verdade: uma lista de permissões, não refletir a Origin cegamente, negar por padrão.
O que é session fixation — fazer a vítima logar com um ID que o invasor já conhece
Session fixation faz a vítima usar um ID de sessão conhecido pelo invasor e então se passa por ela depois que ela loga com esse ID. A defesa real: regenerar o ID de sessão no login (e na mudança de privilégio). Não aceite IDs da URL e reforce os cookies com HttpOnly/Secure/SameSite.
O que é clickjacking — armadilhas invisíveis que fazem você clicar em botões ocultos
O clickjacking sobrepõe seu site real de forma invisível sobre a página do atacante para que o usuário execute uma ação não intencional (transferência, mudança de configuração, consentimento). A defesa de verdade é recusar ser colocado em frame — CSP frame-ancestors mais X-Frame-Options.
O que é open redirect — sua URL confiável usada como trampolim para outro site
Um open redirect permite que um parâmetro do tipo ?next= encaminhe usuários para qualquer site externo, tomando emprestada a confiança do seu domínio para phishing. A defesa real: nunca aceitar URLs externas como destino de redirecionamento — apenas caminhos relativos e uma allowlist.
O que é path traversal — ler arquivos que o servidor jamais deveria servir, via ../
Path traversal mistura ../ em um campo de nome de arquivo para escapar do diretório base e ler/escrever .env, configurações ou chaves. A defesa real: nunca use entrada do usuário como caminho de arquivo cru, e normalize-então-confine dentro de um diretório base permitido.
O que é CSRF (Cross-Site Request Forgery) — fazer um usuário logado agir sem querer
O CSRF faz o navegador de um usuário logado enviar uma ação não intencional, abusando do hábito do navegador de anexar cookies automaticamente. A defesa de verdade são tokens CSRF mais cookies SameSite. Nunca use GET para mudanças de estado.
O que é XSS (Cross-Site Scripting) — código rodando no navegador de outra pessoa
XSS faz uma string fornecida pelo invasor rodar 'como script' no navegador de outro usuário — direto para roubo de sessão e personificação. A defesa real é escapar na saída. Não desabilite o auto-escape do seu framework.