agosto 18, 2024

Cross Site Scripting

Stepanenko febrero 11, 2017
Descargar artículo en PDF

Se trata de un tipo de inseguridad informática en sitios web, que permite a una persona inyectar en sitios web código JavaScript u otro lenguaje similar, evitando medidas de control como la Política del mismo origen.

En español, este tipo de inseguridades se conocen como Secuencias de órdenes en sitios cruzados.
Es común encontrar estas vulnerabilidades en sitios web cuyas funciones sean presentar la información en un navegador web o en otro contenedor de páginas web. También existen aplicaciones locales vulnerables, por lo que no únicamente existen en sitios en Internet.

Este tipo de ataque puede ser utilizado para el robo de información, robar sesiones de usuario y comprometer al navegador. Las vulnerabilidades XSS han existido prácticamente desde que comenzó Internet.

Normalmente, se obtiene la vulnerabilidad al no validar de forma correcta los datos de entrada que se utilizan en alguna aplicación, o al no verificar adecuadamente la salida para su presentación como página web.

Se puede presentar esta vulnerabilidad en dos formas, directa e indirecta.

•Directa, denominada también persistente, consisten en la inserción de código HTML peligroso en páginas que lo permitan, incluyendo etiquetas como <script> o <iframe>.
•Indirecta, también llamada reflejada, consiste en modificar los valores que la aplicación web usa para el paso de variables entre dos páginas, sin utilizar sesiones y ocurre cuando hay un mensaje o una ruta en la URL del navegador, en una cookie o cualquier otra cabecera HTTP.

Un ejemplo de una inyección XSS indirecta, puede ser la inserción de un código JavaScript para un bucle de mensaje de alerta, que más que algo malo, se podría considerar como una broma. Sin embargo, un atacante podría insertar códigos que roben información de cookies o sesiones de usuarios.

El uso de AJAX en XSS no es muy común, pero es bastante peligroso. Se utiliza cualquier tipo de vulnerabilidad se XSS para introducir un objeto XMLHTTP y usarlo para el envío de contenido POST, GET, sin que el usuario lo sepa.

Es muy común este tipo de ataques mediante gusanos de XSS, que se multiplican por medio de las vulnerabilidades de XSS persistentes.

Tags: , , ,

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Más historias

¿Cómo funciona la normativa para ascensores?

Stepanenko junio 24, 2024 0

Los beneficios de las academias de fútbol en el desarrollo de jóvenes talentos

Stepanenko junio 11, 2024 0

¿Qué beneficios tiene adquirir una refrigeradora nueva?

Stepanenko mayo 29, 2024 0

Te pueden interesar

Optimiza tu tiempo con el ERP líder en control horario

Stepanenko agosto 18, 2024 0

Investigadores descubren vulnerabilidades en el servicio de bots de Azure Health impulsado por IA

Stepanenko agosto 14, 2024 0

GhostWrite: Nuevas vulnerabilidades en las CPU T-Head exponen los dispositivos a ataques sin restricciones

Stepanenko agosto 13, 2024 0

El Papel de la IA en la Mejora de la Ciberseguridad

Stepanenko agosto 13, 2024 0

CISA advierte sobre hackers que explotan la función Legacy Cisco Smart Install

Stepanenko agosto 9, 2024 0