¿Qué es Cross-Site Scripting?

By cristina margarita Sin comentarios 5 minutos

Cross-Site Scripting, también llamado XXS, es un ataque malicioso que inyecta deliberadamente scripts maliciosos en el navegador web de un usuario. El atacante ejecuta código malicioso en una aplicación web o página web, y tan pronto como el usuario visita la aplicación web o página web; el script malicioso se transmite automáticamente al navegador de los usuarios.

Secuencias de comandos entre sitios

De esta forma, el atacante toma el control del navegador del usuario o de su cuenta en un sitio web específico. Significa que este ataque no daña la aplicación web en sí, sino que afecta a los usuarios de esa aplicación.

Además, los scripts maliciosos suelen transmitirse como código JavaScript. Sin embargo, los códigos maliciosos también pueden explotar los navegadores de los usuarios en otros idiomas, incluidos HTML, Ajax, Flash y Java.

Recibe FastestVPN

Resumen de la explicación

Aquí está el breve resumen de la explicación de Cross-Site Scripting:

  • XXS es ​​un ataque basado en la web contra páginas web o aplicaciones web vulnerables
  • Daña a los usuarios de la aplicación web, no a la aplicación en sí.
  • XXS transmite programas maliciosos a los usuarios a través de JavaScript.

¿Cómo funciona el ataque Cross-Site Scripting (XXS)?

Los ataques de secuencias de comandos entre sitios tienen lugar de manera que primero manipula una aplicación web vulnerable con una secuencia de comandos maliciosa y luego la aplicación web entrega ese JavaScript malicioso al navegador del usuario.

Tan pronto como el script malicioso ingresa al navegador del usuario, el atacante puede tomar el control fácilmente del navegador del usuario.

Propósito de las secuencias de comandos entre sitios

Un atacante realiza ataques XXS por las siguientes razones:

  • Para hackear una cuenta
  • Para transmitir software malicioso y virus en sistemas que usan Internet
  • Para acceder al contenido del portapapeles de un usuario y al historial del navegador
  • Para ejecutar de forma remota el navegador del usuario
  • Para explotar y acceder a las aplicaciones de la intranet

Ejemplos de secuencias de comandos entre sitios

Algunas de las fuentes más vulnerables para inyectar XXS son foros de boletines y sitios web que permiten la publicación de usuarios.

Ahora, compartimos un ejemplo simple de Cross-Site Script a continuación:

Es un código JSP, en el que puede ver que se realiza una solicitud HTTP y el código lee una identificación de empleado, eid, y se la muestra al usuario.

El código de este ejemplo funcionará bien solo si el código (eid) incluye texto alfanumérico estándar.

Pero, si el mismo código (eid) usa cualquier metacaracteres o valor de código fuente, significa que el navegador web forzará que el código se muestre al usuario como respuesta HTTP.

Inicialmente, no parece ser una vulnerabilidad importante porque nadie ingresaría una URL maliciosa. Sin embargo, la interrupción comienza cuando un atacante crea un enlace malicioso y engaña a los usuarios para que visiten el enlace que está oculto en la URL.

Por lo general, el atacante engaña a los usuarios a través de la ingeniería social y los correos electrónicos y atrae a los usuarios para que visiten un enlace malicioso.

Tan pronto como el usuario hace clic en el enlace malicioso, sin querer devuelve el contenido malicioso de la aplicación web a su propio sistema.

El proceso de reflejar el contenido malicioso se denomina XXS reflejado. Los ataques XXS causan graves interrupciones que a menudo conducen a la manipulación y al robo de datos.

Tipos de secuencias de comandos entre sitios

  1. XSS almacenado/persistente

El ataque XSS almacenado/persistente es la forma más disruptiva de un ataque XSS en el que un atacante transmite un script permanente en la aplicación web. Los usuarios son víctimas de scripts maliciosos cuando se realiza cualquier solicitud en el servidor.

  1. XXS reflejado

Este tipo de Cross-Site Scripting no implica atacar directamente al servidor. Utiliza correos electrónicos para engañar a los usuarios para que ejecuten scripts maliciosos en el navegador. El navegador cree que es un script confiable y, por lo tanto, todo el contenido malicioso se refleja en el navegador del usuario.

  1. Ataques basados ​​en DOM

Los ataques basados ​​en DOM son menos comunes y son diferentes en el sentido de que nunca interrumpen el código del lado del servidor, solo se basan en los scripts del lado del cliente.

DOM se refiere al modelo de objeto de documento que es una interfaz de programación de aplicaciones (API) para documentos HTML y XML. Los ataques basados ​​en DOM solo tienen lugar cuando una aplicación web muestra datos de usuario en un modelo de objeto de documento.

La aplicación web lee los datos del usuario y los transmite al navegador. Si los datos del usuario no están seguros, un atacante puede almacenar fácilmente scripts maliciosos en el DOM.

Cómo determinar la vulnerabilidad de su sitio web

Puede controlar fácilmente la vulnerabilidad de su sitio web a través de escáneres de vulnerabilidad web como Nessus, Nikto, Vega, Grab, WebScarab y muchos más disponibles.

Es importante realizar cuidadosamente una revisión de seguridad del código y descubrir todos los posibles agujeros de seguridad que podrían permitir que la entrada de una solicitud HTTP acceda a la salida HTML.

Tenga en cuenta que se puede utilizar una variedad de etiquetas HTML para ejecutar un JavaScript malicioso. Por lo tanto, es importante escanear un sitio web a través de escáneres de seguridad web.

En caso de que alguna parte del sitio web sea vulnerable, existe la posibilidad de que todo el sitio web sea víctima de daños.

Cómo prevenir ataques de secuencias de comandos entre sitios

  1. Escapar la entrada del usuario

Escapar de la entrada del usuario es un método para prevenir ataques XXS. En este método, debe asegurarse de que los datos que su aplicación web está a punto de enviar al navegador web de los usuarios estén seguros.

WordPress y PHP comprenden funciones que desinfectan automáticamente los datos que estás generando.

  1. Validación de entrada

La validación de entrada es el proceso en el que los datos proporcionados por una aplicación web se comprueban y verifican minuciosamente antes de enviarlos de vuelta al navegador de los usuarios.

Las aplicaciones web deben verificar y validar los datos antes de ingresar a otros sistemas. Ayuda a detectar cualquier enlace o programa malicioso que pretenda atacar los sistemas de los usuarios.

Conclusión

Los ataques XXS son comunes y pueden alterar la privacidad de los usuarios, sin embargo, es fácil de probar y evitar que sus aplicaciones web tengan scripts maliciosos.

Las aplicaciones web deben desinfectar constantemente su entrada antes de enviarla directamente al navegador de los usuarios. Además, los escaneos web regulares ayudarán a las aplicaciones web a encontrar si existe alguna vulnerabilidad.

¡Tome el control de su privacidad hoy! Desbloquee sitios web, acceda a plataformas de transmisión y evite el monitoreo de ISP.

Recibe FastestVPN
Suscríbete al boletín de noticias
Recibe las publicaciones de tendencia de la semana y los últimos anuncios de FastestVPN a través de nuestro boletín electrónico.
ícono
0 0 votos
Valoración del artículo

Puedes También como

Cómo solicitar tus datos a Facebook y Google Cómo solicitar tus datos a Facebook y Google
Consejos para mantenerse protegido mientras trabaja desde casa Consejos para mantenerse protegido mientras trabaja desde casa
Cómo detener los correos electrónicos no deseados Cómo detener los correos electrónicos no deseados
Suscríbete
Notificar de
invitado
0 Comentarios
Comentarios en línea
Ver todos los comentarios