La atracción de las amenazas de Web 2.0


Están proliferando varios métodos, que los ciber criminales usan regularmente para comprometer sitios de la Web 2.0. El scripting entre sitios (cross-site scripting, XSS), revela la vulnerabilidad de las aplicaciones basadas en Web para la ejecución de código malicioso.





Esencialmente, XSS ofrece un medio para inyectar código malicioso de un sitio Web a otro. En algunos casos con XSS, un usuario ni siquiera necesita hacer clic en un enlace; los autores de código malicioso desarrollan código complicado que se carga automáticamente en los navegadores.

XSS revela una previsión insuficiente por parte de los programadores cuando diseñan la rutina de una aplicación Web para manejar datos. Cuando una aplicación Web no puede validar la captura de datos de un usuario antes de regresarla al sistema del cliente, puede ejecutar sin ser advertido líneas que penetran en los módulos de captura de datos. Esto es porque HTML reconoce ciertos caracteres especiales como “<”, que normalmente indican una etiqueta como la introducción a un elemento Web. Si la captura de datos de un usuario incluye líneas que son creadas específicamente para realizar cierta rutina (por ejemplo, colocar una cookie particular en el navegador de un usuario), la aplicación no puede distinguirla de los datos normales (como texto normal que los usuarios capturan para completar formas en línea). Comandos como <OBJECT>, <EMBED>, <APPLET> y <SCRIPT> ofrece a los autores de código malicioso formas de identificar huecos de seguridad. Una extensión adicional de esta tecnología es la falsificación de referencias entre sitios (XSRF), que combina XSS y técnicas de ingeniería social.

 

Ataques documentados
Google Desktop, uno de los servicios de Google, es el primero en ofrecer indexado de escritorio como una funcionalidad extra. La firma de seguridad Watchfire descubrió una vulnerabilidad con el parámetro “bajo” usado en las opciones de Búsqueda Avanzada, que permite a un usuario remoto tomar el control de un escritorio. Watchfire informó de la vulnerabilidad a Google el 4 de enero de 2007, y Google creó un parche un mes después. Incluso Blogger.com, otra compañía de Google, es susceptible a los ataques de scripting entre sitios, lo que permite los redireccionamientos, la reunión de información de sistemas y el seguimiento de navegadores.

Recientemente, Libero.it, un proveedor de banda ancha de Italia, fue expuesto a una vulnerabilidad XSS en la página comunitaria de su sitio Web, donde la función “añadir nick” permite la introducción de código malicioso para que el atacante pueda robar nombres de usuario y contraseñas. Incluso se informó a finales de marzo de 2007 que la aplicación Web de sitios favoritos Digg aparentemente inofensiva contenía una vulnerabilidad en su página de registro, lo que permite el secuestro de cuentas (y finalmente, Diggs falsos). El script mueve el campo del nombre de usuario de la forma de registro a la parte superior izquierda de la pantalla, y programa el código de explotación para que se ejecute cuando el ratón del usuario pasa sobre el cuadro de texto.

Otros incontables sitios sufren de vulnerabilidades similares, incluyendo Paypal, Amazon, Ebay y Orkut. Una iniciativa de investigación de WhiteHat Security descubrió defectos XSS en casi dos terceras partes de los sitios Web auditados del 1 de enero de 2006 al 31 de marzo de 2007.

 

Respuesta de la Industria y esuario
Packet Storm, el Web Application Security Consortium, y varias iniciativas civiles han comenzado a investigar, documentar y exponer varias vulnerabilidades XSS para existir en la Web hoy. Ya que el intercambio de información es la principal fuerza impulsora de wikis, foros de discusión, podcasts, alimentaciones RSS y servicios Web en línea, las compañías que crean estos sitios deben a sus clientes una experiencia segura.

Enlaces Relacionados

Peligros de los ataques XSS y CSRF

Ataques Cross-Site-Scripting

Fuente:
http://www.terra.es



Otras noticias de interés:

Escalada de privilegios a través de fallos en MySQL 5 y 4
Se han descubierto dos vulnerabilidades en MySQL que podrían ser aprovechadas por un atacante para obtener una escalada de privilegios. ...
¿Port Knocking... ofuscación o capa de seguridad?
El objeto de este artículo es recordar el concepto de Port Knocking y sus implicaciones de seguridad para en un posterior artículo reflexionar sobre Single Packet Authorization (SPA). Port Knocking no es un ingenio nuevo, lleva con nosotros desde 2...
Distribución para el análisis forense
La gente de AEDEL nos anuncia hoy la publicación de una distribución forense completamente gratuita y colaborativa llamada Ad|Quiere....
Messenger Plus trae Malware!
Microsoft retira el galardón MVP a un programador que distribuía software espía, MVP (Most Valued Professionals) es un reconocimiento anual que ofrece Microsoft a miembros destacados de comunidades que de alguna forma, ayudan a mejorar productos M...
Twitter y el malware: unidos en una historia
El spam en redes sociales no es ninguna novedad. Y evidentemente los tipos son múltiples, ya que se pasa del más inofensivo que busca simplemente visibilidad, hasta el que está creado para fines poco lícitos. ...
RedIRIS ha lanzado un reto similar al "forensic challenge"
Para fomentar el uso de las técnicas de análisis forense en los equipos atacados , en RedIRIS han lanzado un reto similar al forensic challenge del proyecto Honeynet, con la salvedad de que los informes hay que presentarlos en castellano/español...
La seguridad no importa a los usuarios
Un curioso experimento demuestra la pesadilla de todo administrador de red. La seguridad no es, ni mucho menos, prioritaria para los empleados. No importa cuántas advertencias se le indiquen, es probable que un importante porcentaje d...
Etiqueta "Marquee" provoca DoS en Mozilla Firefox
Mozilla Firefox es propenso a una vulnerabilidad capaz de provocar una denegación de servicio, cuando el navegador intenta procesar cierto contenido HTML, y falla al no poder manejar una condición no prevista....
Sun aun no define si cerrar componentes MySQL
La semana pasada Sun logró enfurecer a la comunidad de código abierto cuando anunció que algunas opciones de su nueva solución de respaldo en línea estarían disponibles solo para compañías que pagan por tener la versión Enterprise de MySQL. ...
#Geolocalización y #malware en móviles, problemas en 2012
Un año más la empresa de seguridad M86 Security ha lanzado sus predicciones para el próximo año, cuando los proveedores de servicios cloud deberán extremar las precauciones....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • amenazas
  • anonimato
  • anonimo
  • antivirus
  • apache
  • atraccion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra