Auditando vulnerabilidades XSS

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

Según la OWASP los ataques XSS (Cross-Site Scripting) siguen siendo los vencedores en cuanto a explotación de vulnerabilidades en entornos web se refiere. Los ataques XSS tratan de aprovecharse de vulnerabilidades generadas por una incorrecta validación de datos de entrada en una aplicación web. Básicamente se trata de engañar al usuario para que pulse la URL manipulada de forma precisa para que al abrirse, ejecute código Javascript que será interpretado en el navegador del usuario. Este tipo de ataques pueden ser utilizados para robar cookies de sesión, inyectar código en nuestra página o incluso comprometer nuestras máquinas con ayuda de frameworks como «BeEF» (Browser Exploitation Framework) .

Generalmente estos ataques están catalogados como “no persistentes” al ejecutarse en el contexto del navegador sin modificar la página web original. Por otro lado, los conocidos como “persistentes” son más peligrosos ya que el código Javascript es directamente insertado en una base de datos de tal forma que todos los usuarios que visualicen registros de dicha BBDD se verán afectados. Existe gran cantidad de referencias sobre XSS para entender su funcionamiento, tipos y medidas preventivas recomendables para evitar este tipo de problemas.

Hasta hace unos años, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de cookies, redireccionamientos de URL, defacements, carga de iframes con código malicioso, etc. pero poco a poco van surgiendo técnicas más sofisticadas que van un paso más allá y que hacen valorar en mayor medida la importancia de este tipo de ataques. «Shell of the Future» o «BeFF» son un claro ejemplo de ello.

El siguiente vídeo tiene por objetivo mostrar el uso de algunas herramientas gratuitas para auditar nuestro sitio web en busca de vulnerabilidades XSS. En un principio se utilizará la versión Free de Acunetix sobre una página de prueba. Posteriormente se mostrará XSSer, herramienta opensource creada especialmente para localizar y aprovecharse de vulnerabilidades XSS.

Buenas prácticas de programación y estar al día de los últimos ataques y vulnerabilidades es la mejor receta para prevenir este tipo de ataques.

En INTECO-CERT cuentan con un servicio de suscripción a través del que es posible conocer los últimos fallos que afectan a determinados productos a través de notificaciones en el correo electrónico. Adicionalmente se pueden realizar búsquedas en el repositorio, con más de 50000 registros, que INTECO-CERT mantiene mediante el “Buscador de vulnerabilidades.


vía INTECO

Califica esta entrada

Etiquetas:


Deja un comentario

Cuanto es 6 + 25 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos