¿que es un ataque Self-XSS?

Self-XSS (self cross-site scripting) o Auto cross-site scripting es un ataque de ingeniería social usado para perder control de las cuentas web de las víctimas. En un ataque self-XSS, la víctima del ataque ejecuta accidentalmente código malicioso en su propio navegador web, exponiéndose así al atacante.

Self-XSS opera engañando a los usuarios para que copien y peguen contenido malicioso en la consola de desarrolladores web de sus navegadores (F12 inspeccionar elemento Consola). Por lo general, el atacante publica un mensaje que dice copiando y ejecutando cierto código, el usuario será capaz de hackear la cuenta de otro usuario. De hecho, el código permite al atacante secuestrar la cuenta de la víctima.

Etimología

La parte «self» del nombre proviene del hecho de que el usuario se ataca a sí mismo (themselves). La parte «XSS» del nombre proviene de la abreviatura de «cross-site scripting» (scripting entre sitios), ya que ambos ataques dan lugar a la ejecución de código malicioso en un sitio legítimo. Sin embargo, Self-XSS tiene mucho menos impacto que la mayoría de las demás vulnerabilidades XSS, ya que se basa en la ingeniería social. Además, el riesgo de Self-XSS derivado del uso de la consola de desarrollo web no puede ser eliminado por el operador del sitio.

Pasos para insertar un ataque Self-XSS.

1. En el explorador Google Chrome, presiona F12 (O inspeccionar elemento)

2. Selecciona console, te aparecerá una mensaje de ADVERTENCIA

   • Si utilizas esta consola, otras personas podrían hacerse pasar por ti y robarte datos mediante un ataque Self-XSS.No escribas ni pegues código que no entiendas.