La atracción de las amenazas de Web 2.0


Están proliferando varios métodos, que los ciber criminales usan regularmente para comprometer sitios de la Web 2.0. El scripting entre sitios (cross-site scripting, XSS), revela la vulnerabilidad de las aplicaciones basadas en Web para la ejecución de código malicioso.





Esencialmente, XSS ofrece un medio para inyectar código malicioso de un sitio Web a otro. En algunos casos con XSS, un usuario ni siquiera necesita hacer clic en un enlace; los autores de código malicioso desarrollan código complicado que se carga automáticamente en los navegadores.

XSS revela una previsión insuficiente por parte de los programadores cuando diseñan la rutina de una aplicación Web para manejar datos. Cuando una aplicación Web no puede validar la captura de datos de un usuario antes de regresarla al sistema del cliente, puede ejecutar sin ser advertido líneas que penetran en los módulos de captura de datos. Esto es porque HTML reconoce ciertos caracteres especiales como “<”, que normalmente indican una etiqueta como la introducción a un elemento Web. Si la captura de datos de un usuario incluye líneas que son creadas específicamente para realizar cierta rutina (por ejemplo, colocar una cookie particular en el navegador de un usuario), la aplicación no puede distinguirla de los datos normales (como texto normal que los usuarios capturan para completar formas en línea). Comandos como <OBJECT>, <EMBED>, <APPLET> y <SCRIPT> ofrece a los autores de código malicioso formas de identificar huecos de seguridad. Una extensión adicional de esta tecnología es la falsificación de referencias entre sitios (XSRF), que combina XSS y técnicas de ingeniería social.

 

Ataques documentados
Google Desktop, uno de los servicios de Google, es el primero en ofrecer indexado de escritorio como una funcionalidad extra. La firma de seguridad Watchfire descubrió una vulnerabilidad con el parámetro “bajo” usado en las opciones de Búsqueda Avanzada, que permite a un usuario remoto tomar el control de un escritorio. Watchfire informó de la vulnerabilidad a Google el 4 de enero de 2007, y Google creó un parche un mes después. Incluso Blogger.com, otra compañía de Google, es susceptible a los ataques de scripting entre sitios, lo que permite los redireccionamientos, la reunión de información de sistemas y el seguimiento de navegadores.

Recientemente, Libero.it, un proveedor de banda ancha de Italia, fue expuesto a una vulnerabilidad XSS en la página comunitaria de su sitio Web, donde la función “añadir nick” permite la introducción de código malicioso para que el atacante pueda robar nombres de usuario y contraseñas. Incluso se informó a finales de marzo de 2007 que la aplicación Web de sitios favoritos Digg aparentemente inofensiva contenía una vulnerabilidad en su página de registro, lo que permite el secuestro de cuentas (y finalmente, Diggs falsos). El script mueve el campo del nombre de usuario de la forma de registro a la parte superior izquierda de la pantalla, y programa el código de explotación para que se ejecute cuando el ratón del usuario pasa sobre el cuadro de texto.

Otros incontables sitios sufren de vulnerabilidades similares, incluyendo Paypal, Amazon, Ebay y Orkut. Una iniciativa de investigación de WhiteHat Security descubrió defectos XSS en casi dos terceras partes de los sitios Web auditados del 1 de enero de 2006 al 31 de marzo de 2007.

 

Respuesta de la Industria y esuario
Packet Storm, el Web Application Security Consortium, y varias iniciativas civiles han comenzado a investigar, documentar y exponer varias vulnerabilidades XSS para existir en la Web hoy. Ya que el intercambio de información es la principal fuerza impulsora de wikis, foros de discusión, podcasts, alimentaciones RSS y servicios Web en línea, las compañías que crean estos sitios deben a sus clientes una experiencia segura.

Enlaces Relacionados

Peligros de los ataques XSS y CSRF

Ataques Cross-Site-Scripting

Fuente:
http://www.terra.es



Otras noticias de interés:

Microsoft lo admite: aún no hemos arreglado Hotmail
Decenas de millones de usuarios del cliente webmail de Microsoft se han visto afectados por un problema que les impide entrar en sus cuentas durante los dos pasados días. Tanto Hotmail como su red de mensajería instantánea están pasando por probl...
Microsoft intenta aclarar la confusión sobre el SP2
Una semana después de la liberación del Service Pack 2 para Windows XP (aún no disponible en español), Microsoft trata de calmar la confusión creada sobre un aparente problema de seguridad, y de aplicaciones que no trabajarán si no se reali...
Google aclara su nueva política de privacidad
Saliendo al paso de las críticas con que ha sido recibida la modificación de sus políticas de privacidad, Google ha remitido una carta al Congreso de Estados Unidos para aclarar el alcance de tales cambios. ...
Dos algoritmos avanzan en el reconocimiento facial por parte de los ordenadores
Uno reconoce un rostro a partir de una sola imagen y el otro identifica expresiones en tiempo real...
La licencia Creative Commons llega a la versión 3.0
La versión 3.0 de las licencias Creative Commons están disponibles desde la semana pasada para los artistas y creadores de contenidos que quieran utilizarlas.La licencia ha sido adaptada a la legislación española y además están disponibles en c...
Privacidad online y el vacío legal
Mientras que en Latinoamérica algunos países tienen ley de delitos informáticos, otros aún no cuentan con tal importante avance a nivel de legislación. Por su parte, los atacantes aprovechan los vacíos legales para continuar afectando a los usu...
Linux en la Nintendo Wii
Linux Satoru Iwata, CEO y presidente de Nintendo, contestó recientemente a algunas preguntas en una entrevista publicada en las propias páginas de Nintendo. Y entre esos comentarios Iwata habló de la posibilidad de actualizar el sistema operativo,...
La Guerra de los Navegadores por Discovery Channel
El excelente canal de televisión Discovery Channel trasmitió hace poco un muy buen programa de nombre La Guerra de los Navegadores, donde hablan los Gurus que participaron James Clark, Rob McCool( Creador de Mosaic), Marc Andreessen, Lou Montulli...
iPhone 5 es vulnerable a un exploit del Pwn2Own Mobile
El iPhone 5 es vulnerable a un exploit preparado para el iPhone 4S, ganador del concurso hacker Pwn2Own Mobile....
Nuevo gusano ataca servidores MySQL
Symantec ha identificado una variante del gusano W32.Spybot que ataca los servidores MySQL en la plataforma Microsoft Windows....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • amenazas
  • anonimato
  • anonimo
  • antivirus
  • apache
  • atraccion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra