Cross-Site Scripting (XSS) es una vulnerabilidad de seguridad de red común cuyo objetivo es inyectar scripts maliciosos en la página web atacada . Esto permite a los atacantes ejecutar código malicioso en el navegador del usuario y obtener información confidencial del usuario, secuestrar sesiones, modificar el contenido de la página web y más .
La implementación de ataques entre sitios generalmente se basa en la falla de las aplicaciones web para filtrar y validar adecuadamente los datos ingresados por los usuarios. Los atacantes pueden inyectar código de script malicioso en la entrada del usuario, parámetros de URL, envíos de formularios, etc. Cuando un usuario visita una página o interactúa con ella, la página web atacada cargará el script malicioso inyectado en el navegador del usuario y lo ejecutará en su nombre.
Los ataques entre sitios se pueden dividir en tres tipos: (1) XSS almacenado, (2) XSS reflejado y (3) XSS basado en DOM. Los ataques entre sitios pueden tener graves consecuencias, incluido el robo de identidad, violaciones de la privacidad personal y operaciones maliciosas. Para evitar ataques entre sitios, los desarrolladores deben implementar un filtrado y una validación estrictos de las entradas de los usuarios y seguir prácticas de codificación seguras. Los usuarios también deben mantener actualizados sus navegadores y complementos, y evitar hacer clic en enlaces sospechosos o proporcionar información personal a sitios web no confiables.
(1) XSS almacenado: los scripts maliciosos se almacenan en la base de datos del sitio web de destino. Cuando otros usuarios visitan la página que contiene el script malicioso, el script se extrae de la base de datos y se ejecuta.
| paso 1 | El atacante encuentra un sitio web de destino que tiene puntos de entrada del usuario que no están filtrados y validados correctamente, como cuadros de comentarios, tableros de mensajes, etc. Estos puntos de entrada permiten a los usuarios ingresar contenido y almacenarlo en la base de datos del sitio web . |
| paso 2 | El atacante inserta un código script malicioso en el punto de entrada, generalmente mediante la inyección de código JavaScript . Los scripts maliciosos suelen utilizarse para robar información confidencial de los usuarios , como nombres de usuario, contraseñas, cookies, etc. Los atacantes pueden usar varias técnicas y medios para hacer que los scripts maliciosos sean invisibles cuando se cargan y ejecutan. |
| paso 3 | Cuando otros usuarios visiten la página web atacada , la página web obtendrá el contenido que contiene el script malicioso de la base de datos y lo incrustará en la página web . |
| etapa 4 | Cuando el navegador del usuario carga una página web, ejecuta el script malicioso incrustado. Esto permite a los atacantes ejecutar códigos JavaScript arbitrarios como usuarios , obteniendo así información confidencial de los usuarios, manipulando el contenido de la página web o realizando otras operaciones maliciosas . |
(2) XSS reflectante: los scripts maliciosos son parte de los parámetros de la URL . Cuando un usuario hace clic en un enlace malicioso o envía un formulario que contiene un script de ataque, el servidor inyecta el script en la respuesta y lo pasa al navegador del usuario para su ejecución.
| paso 1 | El atacante construye una URL que contiene código malicioso y la envía al usuario objetivo , generalmente por correo electrónico, redes sociales u otros medios. |
| paso 2 | El usuario de destino hace clic en una URL que contiene un código malicioso, que envía la URL al servidor del sitio web de destino . |
| paso 3 | El servidor del sitio web de destino extrae el parámetro de la URL e incluye ese parámetro en la página web resultante, generalmente como parte de la respuesta . |
| etapa 4 | El navegador del usuario objetivo recibe la respuesta y, cuando el navegador analiza la página web, se ejecuta el código malicioso. Esto permite que un atacante ejecute código JavaScript arbitrario en nombre del usuario, robando así información confidencial del usuario o realizando otras actividades maliciosas. |
(3) XSS basado en DOM: el script de ataque logra el propósito de las operaciones maliciosas al modificar la estructura DOM (Document Object Model) de la página . Los scripts se ejecutan en el lado del cliente sin enviar una solicitud al servidor. A diferencia del XSS almacenado y el XSS reflejado, los ataques XSS basados en DOM no se implementan a través de la interacción con el servidor, sino que se llevan a cabo en el lado del cliente .
| paso 1 | El atacante construye una URL maliciosa o envía un formulario con un script malicioso y lo envía al usuario objetivo. |
| paso 2 | El usuario objetivo hace clic en una URL maliciosa o envía un formulario que contiene un script malicioso. |
| paso 3 | El navegador del usuario recibe el contenido malicioso y comienza a analizar el código HTML de la página web. |
| etapa 4 | Durante el proceso de análisis, el script malicioso modifica la estructura DOM de la página web e inserta código que realiza operaciones maliciosas, como modificar el contenido de la página, robar datos del usuario, etc. |
| paso5 | Cuando el navegador del usuario realiza operaciones DOM , ejecutará el script malicioso insertado, lo que hará que se ejecute el script de ataque. |