|
 |
|
| Mi�rcoles 23 de mayo de 2007. Núm. 39 |
|
¿Qué es?
XSS es el acrónimo de Cross Site Scripting o inyección de código entre websites y se define como el ataque basado en la explotacion de vulnerabilidades del sistema de validación de HTML incrustado. Su forma de operar consiste en aprovechar la falta de mecanismos de filtrado en los campos de entrada, para así permitir el ingreso y/o envío de datos sin valiación alguna y al mismo tiempo propiciar la aceptación de scripts completas, con el fin de generar secuencias de comandos maliciosas que impacten directamente en un sitio Web o un equipo de cómputo.
¿Cómo funciona?
El Cross Site Scripting ataca a las máquinas de quienes de manera inconsciente activan dicha secuencia de comandos, puesto que se compone de cadenas de datos, cuyo contenido son scripts completos adheridos a enlaces o formularios.
Cuando este código es activado, se ejecuta de inmediato en el equipo con todos los privilegios establecidos por las políticas de seguridad configuradas en el navegador o el sitio visitado y puede realizar acciones diversas, entre ellas: la captura de cookies o la activación de servicios y componentes del sistema operativo de la víctima.
El mayor problema es que estas cadenas de código se encuentran ocultas a la sombra de vínculos en donde el usuario normalmente no checa el código y lo ejecuta. Dicha amenaza puede estar presente de forma directa (foros, mensajes de error) o indirecta (redirecciones, framesets).
La directa es un ataque al usuario y la que con mayor frecuencia aparece. Su forma de operar es mediante el envío de un correo electrónico a una persona con un script oculto en un link o una dirección Web. El atacante utiliza recursos para motivar a la víctima (un premio, regalo u oferta) quien, al verse atraída, hace clic en el vínculo sin saber que está activando una secuencia de comandos que se ejecutarán en su equipo para extraer sus cookies, eliminar archivos y hasta formatear su disco duro, mediante programas con parámetros aleatorios.
Otra forma en la que operan estos ataques es a través de la publicación de datos en blogs, foros, libros de visitas o sitios donde se maneja información enviada por un usuario y que no es validada por el servidor.
En tanto la vía indirecta consiste en modificar valores que la aplicación Web utiliza para pasar variables entre dos páginas, sin usar sesiones.
¿Cómo defenderse?
Evitar enlaces o accesos de aplicaciones o documentos desconocidos siempre es la mejor opción, pero como esto no siempre es posible, lo más apropiado es no almacenar datos de vital importancia en las cookies (contraseñas, números de tarjetas de crédito, direcciones de correos electrónicos, entre otros).
De igual forma es importante encriptar todas las cookies generadas en un sitio Web, al igual que las sesiones de usuario y las variables arrastradas por éste, además hay que fijar un tiempo prudente de caducidad de sesión y no olvidar destruir las cookies al finalizar la misma.
Otra opción para una defensa eficaz es el desarrollo de un registro de eventos, en el cual se almacenen los errores o mal funcionamiento de las aplicaciones, para tenerlo como base en la detección de debilidades y fallos y poder corregirlos de una manera más eficiente.
Así mismo, se puede recurrir al uso de Secure Socket Layer (SSL) - cuya función es cifrar los datos intercambiados - en lugares en donde se procese información de gran importancia, pero siempre con la prudencia de crear un complemento de protección de datos.
Aunque sin duda, las claves para estar seguros ante cualquier amenaza son: actualización en los temas de referente a la protección de los activos cibernéticos, revisiones periódicas de nuevos tipos de ataques, creación de políticas de seguridad dentro de la organización, elaboración de manuales y procedimientos, entrenamiento y asesoramiento constante. |
|
|
|
|
|
|
|
| | |
![[Valid RSS]](../images/backEnd/valid-rss.gif "Validate my RSS feed")