XSS: Cross Site Scripting – Introducción

Para inaugurar la categoría de Seguridad, voy a dedicar varios post a hablar del XSS o Cross Site Scripting.

El cuanto a la definición de qué es el XSS tengo que decir que al igual que ocurre en muchas otras áreas de la informática, el termino no tiene una definición clara. Básicamente cada persona lo utiliza con unos matices u otros pero sin dar una definición concreta de qué es y qué no es el XSS.

Mi definición, el XSS es básicamente el intentar explotar vulnerabilidades habitualmente en entornos web mediante la inyección de código. El término inyección de código, para el que no lo sepa, hace referencia al intentar hacer ejecutar un código ajeno dentro de otro programa.

En entornos web, el XSS se traduce habitualmente como el intentar inyectar código de alguna tecnología web dentro del servidor.

Objetivo:
Al contrario de lo que suelen pensar muchas personas, el realizar un ataque contra un sistema informático no tiene siempre como objetivo la destrucción del mismo. En el caso de XSS existen varios escenarios objetivos, que yo creo se pueden resumir en:

  • Destrucción de contenido: Serían ataques en su mayoría mediante SQL injection con el objetivo de destruir partes de la base de datos. Quizá es el escenario más peligroso, pero verdaderamente es el más absurdo. Hay que pensar que la ganancia de cara al atacante es el cese del servicio del elemento atacado.
  • Modificación de contenido: Serían ataques destinados a modificar el contenido que es mostrado a través de la interfaz web habitual. Dentro de este tipo de ataques habría que distinguir los que se utilizan para sacar más información de la que da habitualmente el sistema y los que pretenden que esa modificación quede guardada de forma persistente dentro del servidor. Este es quizá uno de los ataques más peligrosos, ya que el poder añadir información al servidor hace posible su uso para por un lado obtener información confidencial y poder emplearla en otras tareas, y por otro lado puede abrir una futura puerta de entrada para futuros ataques.
  • Utilización del entorno: Estos ataques estarían destinados a utilizar el entorno únicamente como marco o soporte para introducir nuestro propio código. Estos ataques en mi opinión son bastantes peligrosos y actualmente en aumento, ya que permite mostrar información creada por el atacante haciendo creer al usuario que esa información la proporciona el servicio habitual

Con estos escenarios se puede ver claramente que a veces el objetivo es atacar el servidor que mantiene un entorno web y otras veces el objetivo es utilizar ese entorno para realizar ataques contra los usuarios del mismo.

En el próximo capítulo, ¿Cómo se hace?

Referencias:

  1. Definición XSS Wikipedia Inglés

4 comments so far

  1. […] XSS: Cross Site Scripting – Introducción […]

  2. […] XSS: Cross Site Scripting – Introducción […]

  3. […] Cross Site Scripting (XSS) […]

  4. Pedro on

    Excelente


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: