No subestimes el Cross-Site Scriptings


Los ataques tipo Cross-Site Scripting (XSS, conocido con este acrónimo para no confundirlo con el de las hojas de estilo CSS) son una vulnerabilidad que afecta típicamente a las aplicaciones Web, y que se basa en la inserción de código Web malicioso aprovechando las carencias de filtrado de la Web afectada.





Para conocer datos técnicos sobre esta vulnerabilidad, hacemos referencia al siguiente documento, o bien a la propia entrada de la wikipedia.

Este tipo de ataque ha ido ganando importancia a lo largo del tiempo, hasta situarse en el puesto número uno dentro del ranking de amenazas Web más comunes.

A pesar de la frecuencia de esta vulnerabilidad, son muchos los que la infravaloran debido a que en la gran parte de los casos es necesario que el usuario acceda al enlace especialmente formado para poder explotarla.

Sin embargo, y debido al gran desconocimiento de muchos usuarios, existen numerosas técnicas para que tanto de forma directa como indirecta se acabe accediendo a la URL infectada.

Como muestra del alcance de esta vulnerabilidad, en el siguiente vídeo se ven algunos ejemplos de hasta que punto se puede tomar el control de un ordenador que ha sido víctima de un Cross-Site Scripting, y como utilizando BeEF (Browser Explotation Framework) se puede llegar a controlar todo una botnet.

>

Muy conocido fue el caso del gusano Samy que afectaba a la red social MySpace y que aprovechaba un Cross-Site Scripting para infectar a todos los usuarios de esta red.

A modo de resumen final, se listan algunos ataques que pueden utilizar un Cross-Site Scripting como vector de ataque:

Phishing

Hijacking de sesiones

Robo de credenciales

Defacements

Escaneo de redes

keylogging

Fuente:
Por Jonathan Barajas
S21sec Auditoría



Otras noticias de interés:

Windows Media 9 Versión Beta disponible
En el site de Microsoft se acaba de publicar la esperada versión 9 de su popular programa multimedia Windows Media, aún cuando solo es una Beta. ...
Base de datos con incidentes de seguridad
Una interesante propuesta hemos encontrado esta semana en la web. Se trata de Datalossdb, un sitio web dedicado a registrar, analizar y publicar información libre y gratuita sobre incidentes en seguridad a nivel mundial....
La obsolescencia programada
En el blog del amigo @sinfallas fue publicado un video muy interesante (de 1 hora 15min) sobre: Comprar, tirar, comprar: La historia secreta de la obsolescencia programada. Recomendado!...
OpenDNS bloquea a un gusano especialmente dañino
Este sistema de DNS es una alternativa a nuestras configuraciones convencionales, y de hecho sirve por ejemplo para monitorizar y bloquear el paso y actividad de gusanos como Conficker, uno de los más peligrosos de los últimos tiempos....
MessageLabs provoca a los creadores de virus
Los creadores de virus a través de Internet se convierten en inofensivas reliquias del pasado. Expertos aseguran que desaparece la amenaza de los virus. Después de leer estos titulares basados en unas declaraciones de la compañ...
Microsoft lanza parche para vulnerabilidad en antivirus
Microsoft ha lanzado un parche para cubrir una vulnerabilidad en su motor de escaneo de malware que podría ser aprovechada por los hackers para tomar el control de las máquinas Windows....
#Malware con certificado digital
Investigadores de la empresa de seguridad F-Secure han detectado una muestra rara de software malicioso que lleva un código válido de certificado de firma digital, que proviene de una institución gubernamental de Malasia....
El software cerrado crea dependencia viciosa
Antes de que existiera el movimiento de libre acceso a la cultura y de software libre, la producción de programas era un gran negocio para sus únicos dueños. Pero se fue convirtiendo también en una actividad deshonesta por la manera desleal como ...
US-CERT unificará los nombres de los Virus para evitar confusiones
La disparidad de denominaciones genera problemas tanto al usuario infectado como a las organizaciones y empresas que trabajan en este campo. US-CERT - la organización encargada de enfrentarse a los ciberataques en EE UU- pretende p...
Falsificación de barra de estado en Internet Explorer
Una vulnerabilidad en Internet Explorer y Outlook Express, permite que un atacante pueda engañar a un usuario confiado, sobre la verdadera dirección URL mostrada en la barra de estado....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scriptings
  • seguridad
  • site
  • subestimes
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra