Cross-site scripting
Post date: Feb 6, 2011 1:21:24 PM
(Scripts de sitios cruzados) Tipo de vulnerabilidad para la seguridad informática encontrada típicamente en aplicaciones web que permite a atacantes maliciosos inyectar secuencias de comandos para ser ejecutados del lado del cliente en páginas web visitadas por otros usuarios.
Las vulnerabilidades XSS han sido reportadas y explotadas desde la década de 1990. Algunos sitios destacados que han sido afectados en el pasado son los de redes sociales Twitter, Facebook, MySpace y Orkut. Recientemente, los reportes de ataques por cross-site scripting han superado los de desbordamiento de búfer para convertirse en la vulnerabilidad más frecuentemente reportada por haber sido explotada; algunos investigadores alegan que hasta el 68% de los sitios web probablemente están abiertos a ataques XSS.
Un ataque XSS permite al atacante enviar código malicioso a otro usuario al explotar una debilidad en un servidor Internet. Los atacantes utilizan vulnerabilidades XSS para inyectar código malicioso en enlaces que parecen confiables. Cuando el usuario pulsan el enlace, el programa embebido en el enlace es enviado y se ejecuta en el equipo del usuario, lo que le da al atacante la posibilidad de robar datos confidenciales. Los atacantes utilizan XSS para explotar otras vulnerabilidades en los usuarios de las aplicaciones web más que en los servidores susceptible sde ser atacados por XSS.
Por ejemplo, un atacante podría enviar a su víctima un correo con un URL que apunta a un sitio envíandole un script malicioso. Cuando el usuario pulsa en el enlace se ejecuta en su máquina código malicioso que permite al atacante tener acceso a los cookies almacenados en el navegador y de esa forma atacar al sitio visitado como si fuera un usuario legítimo.
La principal forma que tiene un sitio para protegerse es filtrar las entradas de los usuarios para evitar la inyección de código proveniente de un usuario legítimo que está siendo atacado.
Por su parte, los usuarios pueden configurar sus navegadores para sólo aceptar scripts que provienen de sitios confiables.
Sinónimos: XSS
Traducciones:
Idioma
inglés
Sinónimos
cross-site scripting, XSS
Definición
A type of computer security vulnerability typically found in web applications that enables malicious attackers to inject client-side script into web pages viewed by other users.
Fuente: Omegawiki