Generalmente estos ataques están catalogados como "no persistentes" al ejecutarse en el contexto del navegador sin modificar la página web original. Por otro lado, los conocidos como "persistentes" son más peligrosos ya que el código Javascript es directamente insertado en una base de datos de tal forma que todos los usuarios que visualicen registros de dicha BBDD se verán afectados. Existe gran cantidad de referencias sobre XSS para entender su funcionamiento, tipos y medidas preventivas recomendables para evitar este tipo de problemas.
Hasta hace unos años, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de cookies, redireccionamientos de URL, defacements, carga de iframes con código malicioso, etc. pero poco a poco van surgiendo técnicas más sofisticadas que van un paso más allá y que hacen valorar en mayor medida la importancia de este tipo de ataques. "Shell of the Future" o "BeFF" son un claro ejemplo de ello.
El siguiente vídeo tiene por objetivo mostrar el uso de algunas herramientas gratuitas para auditar nuestro sitio web en busca de vulnerabilidades XSS. En un principio se utilizará la versión Free de Acunetix sobre una página de prueba. Posteriormente se mostrará XSSer, herramienta opensource creada especialmente para localizar y aprovecharse de vulnerabilidades XSS.
Buenas prácticas de programación y estar al día de los últimos ataques y vulnerabilidades es la mejor receta para prevenir este tipo de ataques
No hay comentarios:
Publicar un comentario