•Este termino se le conoce como xss aunque su nombre significa
“Cross-Site Scripting” es una vulnerabilidad GRAVE originado
por un problema de inyección de código en el lado del cliente.
•
•El nombre abreviado es XSS puesto que CSS se usa para referirse a las Hojas de Estilo en Cáscada (Cascade Style Sheeting).
Este ataque se produce cuando en los datos que introduce un usuario en alguna parte de la web se utilizan en la salida html sin un correcto filtrado. Por lo tanto, como el ataque afecta a la parte del cliente (el navegador) pues será necesario utilizar un lenguaje de tipo side client-side como Java script, el más utilizado a día de hoy.
<span id="more-38"></span>
¿Y de qué me sirve?
•A muchos desarrolladores no les parece un ataque peligroso, puesto que aparentemente no se roban datos y bueno, no ven más allá. Puede ser por eso que es un fallo muy presente a día de hoy y en muchísimas webs y con un ataque de XSS se pueden llegar a hacer grandes (y malas) cosas como:
Robar datos (… phishing !!)
•
•Suplantar a otra persona
•
•Suplantación de web
•
•Descarga de archivos dirigidos a un usuario pensando que está en una web confiable
Existen dos tipos de XSS
•PERSISTENTE
se produce generalmente en sectores donde podemos comentar, de modo que el código que inyectemos quedará almacenado en el servidor y se ejecutará cada vez que abramos la página.
•NO PERSISTENTE
también conocido como reflejado, consiste en inyectar código pasándolo mediante la URL, no se almacena en el servidor, solo es explotable el XSS mediante la URL.
“Cross-Site Scripting” es una vulnerabilidad GRAVE originado
por un problema de inyección de código en el lado del cliente.
•
•El nombre abreviado es XSS puesto que CSS se usa para referirse a las Hojas de Estilo en Cáscada (Cascade Style Sheeting).
Este ataque se produce cuando en los datos que introduce un usuario en alguna parte de la web se utilizan en la salida html sin un correcto filtrado. Por lo tanto, como el ataque afecta a la parte del cliente (el navegador) pues será necesario utilizar un lenguaje de tipo side client-side como Java script, el más utilizado a día de hoy.
<span id="more-38"></span>
¿Y de qué me sirve?
•A muchos desarrolladores no les parece un ataque peligroso, puesto que aparentemente no se roban datos y bueno, no ven más allá. Puede ser por eso que es un fallo muy presente a día de hoy y en muchísimas webs y con un ataque de XSS se pueden llegar a hacer grandes (y malas) cosas como:
Robar datos (… phishing !!)
•
•Suplantar a otra persona
•
•Suplantación de web
•
•Descarga de archivos dirigidos a un usuario pensando que está en una web confiable
Existen dos tipos de XSS
•PERSISTENTE
se produce generalmente en sectores donde podemos comentar, de modo que el código que inyectemos quedará almacenado en el servidor y se ejecutará cada vez que abramos la página.
•NO PERSISTENTE
también conocido como reflejado, consiste en inyectar código pasándolo mediante la URL, no se almacena en el servidor, solo es explotable el XSS mediante la URL.
Ataque vía correo electrónico
•Se basa en el envió de un correo electrónico a un usuario con un script oculto en un link a una dirección web, el atacante buscando motivar a su victima a seguir el enlace le ofrece un premio, regalo u oferta si visita dicho vinculo, al verse atraído por la información en el correo electrónico el usuario hace click en el vinculo sin darse cuenta de que esta activando una secuencia de comandos que se ejecutaran en su equipo local, que podrían extraer sus cookies, eliminar archivos y en el caso mas fatal formatear su disco duro, mediante la invocación de programas con parámetros aleatorios.