No subestimes el Cross-Site Scriptings


Los ataques tipo Cross-Site Scripting (XSS, conocido con este acrónimo para no confundirlo con el de las hojas de estilo CSS) son una vulnerabilidad que afecta típicamente a las aplicaciones Web, y que se basa en la inserción de código Web malicioso aprovechando las carencias de filtrado de la Web afectada.





Para conocer datos técnicos sobre esta vulnerabilidad, hacemos referencia al siguiente documento, o bien a la propia entrada de la wikipedia.

Este tipo de ataque ha ido ganando importancia a lo largo del tiempo, hasta situarse en el puesto número uno dentro del ranking de amenazas Web más comunes.

A pesar de la frecuencia de esta vulnerabilidad, son muchos los que la infravaloran debido a que en la gran parte de los casos es necesario que el usuario acceda al enlace especialmente formado para poder explotarla.

Sin embargo, y debido al gran desconocimiento de muchos usuarios, existen numerosas técnicas para que tanto de forma directa como indirecta se acabe accediendo a la URL infectada.

Como muestra del alcance de esta vulnerabilidad, en el siguiente vídeo se ven algunos ejemplos de hasta que punto se puede tomar el control de un ordenador que ha sido víctima de un Cross-Site Scripting, y como utilizando BeEF (Browser Explotation Framework) se puede llegar a controlar todo una botnet.

>

Muy conocido fue el caso del gusano Samy que afectaba a la red social MySpace y que aprovechaba un Cross-Site Scripting para infectar a todos los usuarios de esta red.

A modo de resumen final, se listan algunos ataques que pueden utilizar un Cross-Site Scripting como vector de ataque:

Phishing

Hijacking de sesiones

Robo de credenciales

Defacements

Escaneo de redes

keylogging

Fuente:
Por Jonathan Barajas
S21sec Auditoría



Otras noticias de interés:

Facebook perdió datos de 150 mil usuarios
La compañía niega que sea resultado de un ataque de hackers y explica que el problema se debe a un fallo técnico...
Opera actualiza su navegador aumentando la seguridad anti-phising
La principal novedad del navegador noruego es el aumento de la protección anti-phishing incluida de serie. Hasta ahora, y desde su versión 8, Opera ya incluía una protección anti-phishing, pero esta se ha visto reforzada en la presente edición c...
Podcasting una nueva forma de ganar dinero por Internet
Desde ciertos ámbitos se habla ya del inicio de una revolución en la forma de recibir los contenidos televisivos que va a cambiar la relación de la audiencia con los proveedores de esos programas y también la de éstos con los anunciantes. Uno de...
Vulnerabilidad en los Cisco CSS de la serie 11000
La falta de restricciones correctas para tener acceso a la dirección URL de administración, hace vulnerables a los switches de la serie 11000 de Cisco....
Posible manipulación en el proceso OOXML en Polonia
Las numerosas irregularidades del proceso de estandarizacion ISO del formato OOXML parecen haber salpicado también a Polonia. Al parecer Andrukiewicz, presidenta del comite tecnico KT 182 que decide en estos momentos el voto de Polonia, ha estado re...
Microsoft invita a hackear Windows Vista y exponer sus vulnerabilidades
Microsoft desafía a los participantes en el Congreso Black Hat a encontrar vulnerabilidades y agujeros de seguridad en Windows Vista. ...
Soluciones de seguridad para la empresa
Conocer el nivel de seguridad de la organización, es el primer paso antes de diseñar e implantar cualquier medida de seguridad. En la actualidad la seguridad TIC se considera parte integral y necesaria de cualquier empresa u organización, es por e...
Ejecución de código en Internet Explorer (daxctle.ocx)
Ha sido identificada una vulnerabilidad en Microsoft Internet Explorer, la cuál puede ser explotada por un atacante remoto para provocar el fallo del programa (denegación de servicio), o incluso tomar el control completo del sistema afectado, c...
Cloud computing
El cloud computing, o la computación nube, es un nuevo concepto de la Web 2.0 que venimos sintiendo hace un tiempo y que está relacionado con el software de servicios alojados en la gran red de redes. Como ejemplo podemos nombrar a los muy conocido...
Vulnerabilidad en protocolo FTP de Opera (PASV)
Una vulnerabilidad en el protocolo FTP ha sido reportada en Opera, el conocido navegador de Internet. La misma puede ser explotada por un atacante para obtener información confidencial del equipo en que se ejecuta....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scriptings
  • seguridad
  • site
  • subestimes
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra