Cross-site scripting

Cross-site scripting (XSS)

Las vulnerabilidades de secuencias de comandos entre sitios (a veces denominadas XSS) se producen cuando un atacante utiliza una aplicación web para enviar un código malicioso, generalmente en forma de secuencia de comandos, a un usuario final diferente. Estos defectos son bastante generalizados y ocurren en cualquier lugar donde una aplicación web usa la entrada de un usuario en la salida que genera sin validarla. Un atacante puede usar secuencias de comandos de sitios cruzados para enviar secuencias de comandos maliciosas a un usuario desprevenido. El navegador del usuario final no tiene forma de saber que el script no debe ser de confianza, y ejecutará el script. Debido a que piensa que el script proviene de una fuente de confianza, el script malicioso puede acceder a cualquier cookie, token de sesión u otra información confidencial retenida por su navegador y utilizada con ese sitio. Estos scripts pueden incluso reescribir el contenido de la página HTML.

Los ataques XSS generalmente se pueden categorizar en dos categorías: almacenados y reflejados. Los ataques almacenados son aquellos en los que el código inyectado se almacena permanentemente en los servidores de destino, como en una base de datos, en un foro de mensajes, en un registro de visitantes, en un campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita el almacenamiento información. Los ataques reflejados son aquellos en los que el código inyectado se refleja en el servidor web, como en un mensaje de error, resultado de búsqueda o cualquier otra respuesta que incluya parte o la totalidad de la entrada enviada al servidor como parte de la solicitud. Los ataques reflejados se entregan a las víctimas a través de otra ruta, como en un mensaje de correo electrónico o en otro servidor web. Cuando un usuario es engañado para hacer clic en un enlace malicioso o para enviar un formulario especialmente diseñado, el código inyectado viaja al servidor web vulnerable, que refleja el ataque de nuevo al navegador del usuario. El navegador entonces ejecuta el código porque vino de un servidor 'de confianza'. La consecuencia de un ataque XSS es la misma independientemente de si se almacena o se refleja. La diferencia está en cómo llega la carga útil al servidor. No se deje engañar al pensar que un sitio "solo lectura" o "folleto" no es vulnerable a serios ataques XSS. XSS puede causar una variedad de problemas para el usuario final que varían en gravedad de una molestia a la transacción de la cuenta completa. Los ataques XSS más graves implican la divulgación de la cookie de sesión del usuario, permitiendo a un atacante secuestrar la sesión del usuario y asumir la cuenta. Otros ataques dañinos incluyen la divulgación de archivos de usuario final, la instalación de programas de caballo de Troya, la reorientación del usuario a alguna otra página o sitio y la modificación de la presentación del contenido. Una vulnerabilidad XSS que permite a un atacante modificar un comunicado de prensa o una noticia puede afectar el precio de las acciones de una empresa o disminuir la confianza del consumidor. Una vulnerabilidad de XSS en un sitio farmacéutico podría permitir a un atacante modificar la información de la dosis que resulta en una sobredosis. Los atacantes usan con frecuencia una variedad de métodos para codificar la parte malintencionada de la etiqueta, por ejemplo, usar Unicode, por lo que la solicitud es menos sospechosa mirando al usuario. Hay cientos de variantes de estos ataques, incluyendo versiones que ni siquiera requieren símbolos <>. Por esta razón, intentar "filtrar" estos scripts no es probable que tenga éxito. Por el contrario, recomendamos validar la entrada en contra de una especificación positiva rigurosa de lo que se espera. Los ataques XSS generalmente vienen en forma de JavaScript incrustado. Sin embargo, cualquier contenido activo incrustado es una fuente potencial de peligro, incluyendo: ActiveX (OLE), VBscript, Shockwave, Flash y más.

...