Términos

Cross-Site Scripting (XSS)

El Cross Site Scripting (XSS) es el proceso de agregación de código malicioso a un sitio web legítimo para recopilar información del usuario con un propósito malicioso.

Los ataques XSS son posibles gracias a las vulnerabilidades de seguridad que se encuentran en las aplicaciones Web y se explotan comúnmente mediante la inyección de un script del lado del cliente.

[alert type=»info» icon-size=»small»]Aunque normalmente se utiliza JavaScript, algunos atacantes también utilizan VBScript, ActiveX o Flash.[/alert]

 

Funcionamiento del Cross-Site-Scripting

[alert type=»info» icon-size=»small»]XSS se refiere a un ataque de inyección de código en el sitio del cliente en el que un atacante puede ejecutar secuencias de comandos maliciosos en una aplicación web.[/alert]

Como todos los ataques de inyección, XSS aprovecha el hecho de que los navegadores no pueden diferenciar un marcado válido de un marcado controlado por el atacante, sino que simplemente ejecutan el texto de marcado que reciben. El ataque elude la Política de Misma Origen, que tiene por objeto evitar que los scripts que se originan en un sitio web interactúen con los scripts de otro sitio web.

La Política de Mismo Origen requiere que todo el contenido de una página web provenga de la misma fuente. Cuando no se aplica la Política del mismo origen, un atacante puede inyectar un script y modificar la página web para adaptarla a sus propios fines, por ejemplo, para extraer datos que permitan al atacante hacerse pasar por un usuario autenticado o para introducir código malicioso para que el navegador lo ejecute.

 

XSS se puede utilizar de varias maneras para causar problemas graves. El uso tradicional de XSS permite a un atacante robar las cookies de sesión, lo que le permite fingir ser el usuario (víctima). Pero no se trata sólo de robar cookies; los atacantes pueden utilizar XSS para propagar malware, desfigurar sitios web, crear problemas en las redes sociales, falsificar credenciales y, junto con las técnicas de ingeniería social, perpetrar ataques más dañinos.

En resumen, el atacante consigue cargar código de script malicioso en el sitio web, que posteriormente será servido a los usuarios y ejecutado en su navegador.

 

Peligros del Cross-Site

Cuando una vulnerabilidad XSS se implementa con éxito, la aplicación del servidor puede estar seriamente expuesta a grandes riesgos.

Por ejemplo, los usuarios pueden ser engañados para que ejecuten scripts maliciosos al ver páginas generadas dinámicamente. Otra posibilidad es que un atacante se haga cargo de una sesión de usuario antes de que expire la cookie de sesión correspondiente. En otro caso, los usuarios pueden ser conectados a un servidor malicioso.

En prácticamente todos los escenarios, el sistema de la víctima es atacado usando los privilegios de la víctima. Los ataques pueden entonces evolucionar hacia el secuestro, el robo de cookies, la publicidad falsa y las modificaciones en la configuración del usuario de la cuenta de la víctima.

Una forma de mitigar los riesgos de los exploits de XSS es desactivando los scripts activos en los navegadores. Desafortunadamente, esto también elimina la capacidad de un navegador para ejecutar sitios web dinámicos y no es una solución realista para la mayoría de los usuarios.

 

 

 

 

Publicaciones relacionadas

Botón volver arriba