GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Cross-Site Scripting (XSS) & same origin policy


En este artículo vamos a realizar una muy breve introducción al Cross-Site Scripting (XSS) y a la Política del mismo origen (same origin policy), un par de conceptos de gran interés para cualquier desarrollador Web y también para los administradores de aplicaciones web, especialmente por lo popular que se han ido haciendo con el paso de los años.

El Cross-Site Scripting (XSS) es una técnica o vulnerabilidad de seguridad en la capa de aplicación, que consiste en la inyección de código Script de cliente (Client-Side Script, como es el caso de HTML y JavaScript) en páginas Web (ej: envío de formularios HTML, como comentarios en Blogs, Libros de Visitas, entradas de foros, etc., o incluso en las QueryStrings y en las Cookies), para que sea ejecutado en el equipo del usuario (en particular, en su navegador) con todos los privilegios que tenga permitido dicho usuario en función del Sistema Operativo, Navegador y del Sitio Web que está visitando. Se trata de un tipo de Inyección de Código.

De este modo es posible añadir eventos JavaScript (ej: OnLoad, OnClick), agregar HTML con enlaces, capas o IFRAMEs para invitar al usuario a realizar un click capaz de iniciar una secuencia JavaScript, etc.

Al final se trata de una cuestión de picardía, ya que nos la pueden colar por cualquier lado, incluso insertando tags HTML con código JavaScript embebido en el valor de sus atributos (otro tema es cómo lo interpretará cada navegador).

No siempre tiene esta forma clásica, ya que también sería posible que un usuario recibiese un correo electrónico en formato HTML (o con un HTML/JavaScript adjunto) o con una URL a una Página Web, el cuál contenga el código malicioso, sin necesidad de realizar estrictamente una inyección de código HTML/JavaScript en una Página Web, pero con un mismo objetivo: que el usuario lo ejecute.

Evidentemente, los ataques de Cross-Site Scripting (CSS) se han ido haciendo más potentes y complicados con el paso del tiempo, ya que por su propia naturaleza, permiten aprovechar la potencia que ofrecen diferentes librerías y Frameworks, como podría ser el caso de jQuery y de AJAX.

En muchos casos este tipo de ataques se realiza con la intención de superar la Política del mismo origen (same origin policy), es decir: un usuario con su navegador, visualiza una Página Web (hospedada en un dominio – ej: un blog) en la que se ejecuta un JavaScript que intenta acceder a la información a la que el usuario está accediendo en otra Página Web (hospedada en otro dominio – ej: el correo web personal o quizás la web del Banco que utiliza el usuario – robando la sesión del usuario) desde su navegador, así como leer/utilizar las Cookies del usuario, etc., comprometiendo la seguridad tanto del usuario como de los Sitios Web que está visitando.

Este tipo de ataques, es cada día más frecuente, ya que tan sólo requiere de unos conocimientos básicos de HTML y Scripting (ej: JavaScript). Del mismo modo, su prevención es bastante sencilla, y en muchos casos será suficiente con evitar el almacenamiento de datos sensibles en cookies (además de almacenarlas encriptadas), validar la longitud y/o el contenido de cualquier entrada de datos de los usuarios, así como utilizar los métodos HtmlEncode y UrlEncode o incluso utilizar Expresiones Regulares en la validación de la entrada de usuarios. De este modo, conseguiremos evitar la inserción de código malicioso (un concepto algo similar al de SQL Injection) y el robo de información sensible de nuestras cookies.

Hasta aquí llega este artículo, que personalmente me sabe a poco, y que si tengo oportunidad intentaré actualizar más adelante, con un mayor nivel de detalle y algún que otro ejemplo.

Poco más por hoy. Como siempre, confío que la lectura resulte de interés.

 


[Fecha del Artículo (UTC): 03/05/2013]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas