Seguridad Informática para Empresas – Servicios de Ciberseguridad

Cross Site Scripting

14 cibercrímenes más comunes

José Alarico Teixeira Manzano // 26 de Diciembre de 2018

PARTE 7

Los 14 cibercrímenes más comunes

Desde R3 Cybersecurity te hablaremos de los cibercrímenes más recurrentes a las que las organizaciones y usuarios se enfrentan y cómo pueden prevenirlas. Para ello, hemos recopilado los 14 ciberataques más frecuentes y de los cuáles debes estar al tanto para poder prevenirlos. Estos estarán divididos en dos partes, cada una compuesta por 7 ciberdelitos.  Podrás ver la publicación de dicho contenido todas las semanas.

R3 Cybersecurity

CROSS-SITE SCRIPTING

Con la expansión de Internet a todos los rincones de la Tierra la web se ha alzado como uno de los elementos primarios de interacción de los usuarios y, por lo tanto, también se ha convertido en uno de los objetivos primarios de los delincuentes.

En esta entrada vamos ha hablar de uno de los ataques más habituales a la web y que siempre suele estar entre los 10 primeros de la lista de OWASP: el Cross-Site Scripting

XSS

¿QUÉ ES Y CÓMO SE REALIZA?

El Cross-Site Scripting o XSS es un ataque en el que el atacante es capaz de inyectar un script malicioso dentro de páginas web para que se ejecute en el navegador del usuario. El ataque se produce, principalmente, por una incorrecta validación de los datos del usuario y se suele inyectar mediante un formulario web o mediante un enlace alterado.

De esta manera, el atacante es capaz de ejecutar acciones en el equipo del usuario tales como: robar cookies, sesiones de usuario, modificar el sitio web, redireccionar hacia sitios maliciosos, instalar malware, etc.

Como podemos ver, los atacantes explotan la confianza que el usuario tiene en un sitio web en particular para poder ejecutar el ataque. Esto nos da una dimensión del impacto que pude llegar ha tener algo así:

OPERACIÓN DE UN ATAQUE XSS

TIPOS DE XSS:

 

Aunque existen varios tipos de ataques de Cross-Site Scripting, para este artículo nos vamos a referir a los dos tipos más comunes y que nos vamos ha encontrar habitualmente:

 

1. XSS No Persistente o Reflejado

Es el más habitual y usado de ambos. Su característica principal es que no almacena el código malicioso en el servidor si no que lo usa como medio para llegar hasta el usuario.

Un ejemplo de esto es cuando el ataque es enviado a la victima a través de un formulario cuyo un link de confirmación al ser clicado permite que el código malicioso viaje desde el sitio web vulnerable y que se refleje en el navegador de la víctima.

Al provenir de una web legítima, el navegador lo ejecutará sin problema alguno.

2. XSS Persistente o Almacenado

En este caso, el código malicioso está almacenado en servidor (por ejemplo, como un comentario, una base de datos, etc) y cuando la víctima accede a dicho contenido almacenado activa el código malicioso que se ejecuta en su navegador.

MEDIDAS DE PREVENCIÓN

Con lo que hemos explicado es evidente que el usuario no tiene demasiado control sobre las maneras de evitar este ataque más allá de tener cuidado en los sitios que visita, mantener una solución de seguridad actualizada y usar navegadores seguros (Firefox u Opera), pero en el lado del desarrollador de la web si se deben tomar una serie de medidas como:

Usar librerias de código o frameworks ya preparados para evitar este ataque como, por ejemplo, Ruby on Rails o React JS.

Validar los datos de entrada siempre desde el lado del servidor y no solo desde el lado del cliente

Las cookies deben tener la flag HttpOnly activada.

 

Activar la CSP (Content Security Policy) en el servidor que permite, entre otras cosas, que solo los scripts que se reciban de dominios incluidos en una lista blanca sean ejecutados en el servidor.

Como hemos visto este ataque es uno de los más comunes y peligrosos que podemos llegar a sufrir en nuestra navegación por la web debido a la facilidad con que puede ser implementado dentro de páginas vulnerables.

José Alarico Teixeira Manzano    |   R3 CyberSecurity

Comparte el post con tus amigos

CON LA CONFIANZA DE

logos2

ÚNETE AL EQUIPO

Conoce todas las oportunidades profesionales que te permitirán alcanzar tus metas personales.

R3 Ciberseguridad

© R3 CyberSecurity