Cross Site Scripting (XSS)

0
337

Cross Site Scripting (XSS)

 

XSS (Ejecución de Comandos Cruzados) es un vector de ataque a páginas web, aplicaciones locales e incluso al propio navegador que es utilizado para robar información personal secuestrando sesiones de usuario, esto ocurre cuando no se valida adecuadamente la entrada y salida de información a una página web.

 

Tipos de ataque

XSS directa o persistente: consiste en invadir e insertar código peligroso en sitios HTML vulnerables, esto mediante la inclusión de etiquetas “Script” y “Frame” que exploran las debilidades del código fuente o pagina web que son provocadas por el uso indebido del DOM (modificación del objetivo del documento web estándar) con Java Script lo que permite abrir otra página con Java script con código malicioso incrustado, afectando así el código de la primera pagina en el sistema local.

XSS indirecta o reflejada: modifica valores de la aplicación web para pasar variables entre dos páginas, sin necesidad de permisos de inicio de sesión por parte del usuario, esto mediante un mensaje o ruta URL del navegador, cookie o cualquier dirección HTTP.

PDF XSS: usada para dañar Acrobat Reader de Adobe, donde este se vuelve vulnerable a un ataque xss si da alojamiento a documentos en formato PDF. Para combatirlo podemos actualizar Reader o utilizar el servidor de aplicación web Apache, llevando a cabo la correcta configuración ModSecurity, ya que cuenta con directivas de protección para archivos PDF.

XSRF ataque Cross- Site Request Forgery: utiliza la confianza del usuario hacia la entrada proporcionada por un sitio, para tomar el control total de su navegador accediendo como si fuera el usuario previamente registrado.

¿Por qué se produce esta vulnerabilidad?

 

Las vulnerabilidades se dan por falta de controles necesarios en sitios web, a raíz de esto un ciber delincuente puede lograr ejecutar Script en Java o HTML u otros sin mayor problema.

Ejemplo:

  • Re direccionamiento de cuentas de facebook, para obtener información privada de usuarios.
  • ”A” servidor o pagina web “mibanco.com” el cual es vulnerable a XSS y “B” atacante que inyecta código malicioso en “mibanco.com” lo que hace que el usuario acceda y sea reenviado a un sitio similar al original “ mibanco.com” lo que comprometerá los datos del usuario produciéndose así el robo.

¿Cómo evitar ser víctimas de XSS?

 

  • Actualizar e instalar una solución de seguridad para que cualquier amenaza sea bloqueada tal como malware o exploits.
  • En caso de re direccionamiento indebido a algún sitio web de Phishing, el antivirus previamente actualizado y navegador lo bloquearan inmediatamente.
  • Estar alerta a la página de ingreso URL a la que se accede.
  • Utilizar complementos para los navegadores como NOScript que se encargara de bloquear amenazas Script en paaginas web.
  • Si eres un desarrollador de páginas web tu aplicación debe contar con un diseño seguro de manera que te sea una herramienta libre de posibles fallos de seguridad.
  • Emplear librería anti- xss de Microsoft como Apache Wicket, modulo ESAPI de codificación de Owasp , u otros .
  • Conocer y entender los datos de codificación de la pagina e hipervínculos en ella, tales como; parámetros o argumentos, cookies, información de la red, variables de entorno, resultado de consultas, búsqueda de DNS reversibles, componentes de la URL, correos electrónicos, archivos, nombres archivos, entre otros.
Compartir
Artículo anteriorEspiar whatsapp
Artículo siguienteLocalizar IP

Dejar respuesta