70 likes | 247 Views
Mario López 803135 Enrique Gorian 802740 Luis Avilés 801717. Cross Site Scripting (XSS). XSS. Abarcaban cualquier ataque que permita ejecutar código de "scripting" en el contexto de otro sitio web .
E N D
Mario López 803135 Enrique Gorian 802740 Luis Avilés 801717 Cross Site Scripting (XSS)
XSS • Abarcaban cualquier ataque que permita ejecutar código de "scripting" en el contexto de otro sitio web. • Aprovecha que no se validan correctamente los datos de entrada que son usados en algunas aplicaciones permitiendo enviar un script malicioso a la aplicación. • Para funcionar necesitan un punto de entrada, que suelen ser los formularios
Usos • Robo de identidad • Acceso a información restringida • Obtener acceso a contenido de pago • Espiar hábitos de navegación de usuarios • Alterar funcionalidad de navegadores • Modificar configuraciones de aplicaciones web • Ataques DoS
Tipos • Indirecta • Cuandoel código maligno se inyecta a través de formularios, a través de los parámetros de una URL, programas en Flash, un enlace malicioso e incluso vídeos. • Directa • Cuando el atacante consigue embeber código HTML malicioso, directamente en los sitios Webs que así lo permiten.
¿Cómo prevenir? • Filtros • Escapar caracteres • Usos de navegadores web
Ejemplos • Youtube • Se inyectaba código HTML desde ellárea de comentarios en Youtube. • Facebook • se basaba en el acceso a través de Java Scripts, de las cookies del usuario de Facebook, logrando re direccionar su contenido a un servidor web controlado por el atacante.
Fuentes • http://www.taringa.net/posts/ciencia-educacion/9722519.R/XSS---Cross-Site-Scripting.html • http://www.acunetix.com/websitesecurity/xss.htm • http://www.acunetix.com/blog/web-security-zone/articles/preventing-xss-attacks/