¿Cuál es cross-site scripting?
Cross-site scripting o XSS, es un método de inyectar código malicioso y enlaces en el código de una página web de otro modo seguro. XSS es una de las técnicas de hacking más comúnmente utilizados. Mientras que los navegadores web se han incorporado en la seguridad para prevenir una serie de ataques XSS, los hackers todavía pueden explotar las debilidades en el programa de convencer al navegador está confiado en que plantó código.
La inyección de código XSS
Los hackers no necesitan tener acceso directo al código de una página web para colocar XSS Ataques de lugar, por lo general explotan los campos de entrada de usuario en archivos adjuntos de correo electrónico, comentarios y tablones de anuncios. ataques XSS explotar campos destinados a los usuarios introducir texto en una página web mediante la inclusión de código que carga un script no autorizada en la página que puede secuestrar el navegador y robar información. navegadores web no permiten que las secuencias de comandos en un único sitio afectar a otro, por lo que los ataques XSS no funcionarán mediante la carga de una página web dentro de otro con un iframe. Sin embargo, al igual que el contenido de los comentarios y envíos en el foro existe en el mismo sitio, por lo que la escritura llama en el trabajo de campo. Los sitios con páginas codificadas de forma individual sin campos de entrada de usuario están en bajo riesgo de ataques XSS, pero las páginas dinámicas generadas a través de un sistema de gestión de contenidos son propensos a exploits XSS.
La explotación de Parámetros de la página
Vídeo: Curso XSS: Inyeccion Basica - Clase #1
Los sitios web usan varios métodos para almacenar cosas como nombres de usuario y contraseñas para permitir que los usuarios autorizados tengan acceso a contenido restringido. Los hackers pueden colocar código malicioso en las páginas que pueden secuestrar la información del usuario se pasa como parámetro en la URL. Los parámetros son un método de almacenamiento y transmisión de información entre las páginas del navegador a través de la adición de los valores de la URL. Los lenguajes de programación como javascript tienen libre acceso a los parámetros de la URL, por lo que el código inyectado se pueden solicitar los valores de los parámetros, como nombres de usuario y contraseñas, y enviar esos valores en cualquier lugar.
Robar las cookies
Los sitios web usan comúnmente "galletas," o un pequeño archivo almacenado en un ordenador, para guardar la información del usuario para su uso en distintas páginas. Sitios web sólo pueden acceder a las cookies que crean, por lo que el sitio A no pueden leer las cookies desde el sitio B. Sin embargo, un tercero puede "veneno" cookies de sitio A mediante la inyección de código galleta-interpretación en el sitio A y enviarlo junto con el sitio B.
La protección de los sitios web de la inyección
Webmasters pueden proteger su sitio de alojamiento de los ataques XSS mediante el filtrado de código potencialmente malicioso de los visitantes del sitio. Un webmaster puede agregar un control de seguridad para los campos de comentario y de contabilización que excluye los comandos como el "guión" etiqueta. Los hackers pueden intentar cargar guiones XSS a través de otras etiquetas HTML, así como el uso de caracteres codificados a los filtros de derivación. Webmasters puede trabajar alrededor de los ataques de inyección codificadas por despojar a los caracteres ASCII especiales, URL código de codificación, códigos HTML y los códigos numéricos de nombre de usuario HTML de los campos de entrada. Los administradores también pueden utilizar herramientas como Acunetix Web Vulnerability Scanner, SC Labs Exploit-Yo y el plugin XSS Me Firefox para comprobar si hay vulnerabilidades (ver Recursos).
Vídeo: Hacking web ~ Ataques de tipo xss (Basico) ~ [IN]Seguridad Informatica
referencias
- enlazar OWSAP.org: Cross-Site Scripting (XSS)
- enlazar PC Magazine: Definición de: XSS
- enlazar Cgisecurity: El cross-site scripting (XSS) FAQ
- enlazar Acunetix: Cross Site Scripting Ataque
- enlazar Tech Republic: ¿Qué es el Cross-Site Scripting?
- enlazar Computer Hope jerga: Envenenamiento de Cookies