Um navegador, também conhecido pelos termos ingleses web browser ou simplesmente browser, é um programa de computador que habilita seus usuários a interagirem com documentos virtuais da Internet, também conhecidos como páginas da web, que podem ser escritas em linguagens como HTML, ASP, PHP, com ou sem folhas de estilos em linguagens como o CSS e que estão hospedadas num servidor Web.

Fonte : http://pt.wikipedia.org/wiki/Navegador

Os browsers ou navegadores podem conter falhas, como qualquer outro software, e estas falhas podem compremeter a segurança de seus usuários. Conhecendo este polêmico assunto, sobre as vulnerabilidades nos web browsers resolvi escrever este artigo, onde exploraremos algumas destas vulnerabilidades.

Como funciona?

O programador cria um script malicioso, que pode ser em HTML, PHP, CSS e qualquer outra linguagem utilizada em Web, este script, pode desde fazer um simples "Crash" até manipular o S.O. (o que já aconteceu uma vrz, onde houve uma PoC no Internet explorer que permitia abrir a calculadora apenas visitando uma url).

Vamos ver a ilustração abaixo, para ficar mais compreensível: Vejamos algumas das vulnerabilidades:

• CSS overflow;
• JPG Overflow ;
• Clickjacking;
• XML Parsing Overflow;
• etc.

Esse tipo de script é bastante comum em sites pornográficos e em páginas invadidas, onde o defacer aloca o script malicioso em um HTML.

Referências

• NoScript - Proteção quando o assunto é XSS e Clickjacking
• Clickjacking - uma breve análise sobre o assunto

Alguns vídeos sobre o assunto

Antes de mostrarmos e explorarmos as vulnerabilidades, vamos ver alguns exemplos em vídeo de como a coisa acontece.

Internet Explorer: Mozilla Firefox: Opera: