¿Qué es la secuencia de comandos entre sitios?

Una de las clases de vulnerabilidad más comunes en los sitios web se llama "Cross-Site Scripting" o "XSS". Las vulnerabilidades XSS son aquellas en las que un usuario puede hacer que se ejecute JavaScript. Hay varias variantes diferentes de vulnerabilidad XSS, con distintos grados de gravedad.

El problema de que un atacante pueda ejecutar JavaScript en las sesiones de otros usuarios es que entonces es posible que el atacante haga cualquier cosa en el sitio web que ven las víctimas. Esto incluye redirigir a las víctimas a sitios web externos, robar tokens de autenticación y monitorear los detalles de pago.

La forma más grave de vulnerabilidad XSS es la secuencia de comandos entre sitios "almacenada" o "persistente", aquí es donde es posible que un atacante cree una carga útil XSS y luego la envíe, de modo que se guarde en la base de datos. Con un exploit XSS guardado en la base de datos, es posible que afecte a otros usuarios durante un período de tiempo amplio.

Otra forma de Cross-Site Scripting es "Reflejada", este tipo no se guarda en ningún momento, sino que la carga útil se incluye en el navegador. Por lo general, este tipo de XSS es parte de los ataques de phishing, en los que un atacante intenta engañar a una víctima para que haga clic en un enlace malicioso.

En general, la mayoría de los ataques XSS tienen la carga útil enviada al servidor en algún momento, pero algunos ataques son puramente del lado del cliente, nunca se envían al servidor y, en cambio, solo afectan a JavaScript del lado del cliente. Esto se denomina XSS basado en DOM, ya que permanece en el modelo de objetos de documento de JavaScript, o DOM. Este tipo de vulnerabilidad es particularmente difícil de identificar y resolver porque el servidor nunca detecta las vulnerabilidades y, por lo tanto, no se pueden registrar.

Históricamente, la técnica de prevención contra las vulnerabilidades XSS es filtrar todos los datos enviados por el usuario, utilizando listas de bloqueo para rechazar cualquier mensaje con caracteres o palabras significativas en JavaScript. Esto tendió a conducir a una carrera armamentista para encontrar desvíos para el filtro y al mismo tiempo evitar algunas presentaciones legítimas de los usuarios. La solución correcta es utilizar entidades HTML para codificar los datos enviados por el usuario. con los módulos de entidades HTML habilitados, los caracteres se codifican automáticamente en un formato en el que el navegador sabe que debe mostrarlos como los símbolos correctos, pero no tratarlos como código.



Leave a Comment

Fix: Las aplicaciones no ancladas siguen reapareciendo en Windows 11

Fix: Las aplicaciones no ancladas siguen reapareciendo en Windows 11

Si las aplicaciones y programas no anclados siguen reapareciendo en la barra de tareas, puedes editar el archivo Layout XML y eliminar las líneas personalizadas.

Cómo Reiniciar Suave y Duro un iPod Shuffle

Cómo Reiniciar Suave y Duro un iPod Shuffle

En este tutorial te mostramos cómo realizar un reinicio suave o duro en el Apple iPod Shuffle.

Cómo gestionar tus suscripciones de Google Play en Android

Cómo gestionar tus suscripciones de Google Play en Android

Hay tantas aplicaciones excelentes en Google Play que no puedes evitar suscribirte. Con el tiempo, esa lista crece y necesitas gestionar tus suscripciones de Google Play.

Cómo usar Samsung Pay con el Galaxy Z Fold 5

Cómo usar Samsung Pay con el Galaxy Z Fold 5

Buscar en tu bolsillo o cartera la tarjeta adecuada para pagar puede ser un verdadero inconveniente. En los últimos años, varias empresas han estado desarrollando y lanzando soluciones de pago sin contacto.

Cómo eliminar fotos y videos de Facebook

Cómo eliminar fotos y videos de Facebook

Esta guía te mostrará cómo eliminar fotos y videos de Facebook usando una PC, Android o dispositivo iOS.

Cómo Reiniciar Galaxy Tab S9

Cómo Reiniciar Galaxy Tab S9

Hemos pasado un tiempo con la Galaxy Tab S9 Ultra, y es la tableta perfecta para emparejar con tu PC con Windows o el Galaxy S23.

Cómo Silenciar Mensajes de Texto en Grupo en Android 11

Cómo Silenciar Mensajes de Texto en Grupo en Android 11

Silencia los mensajes de texto en grupos en Android 11 para mantener las notificaciones bajo control para la aplicación de Mensajes, WhatsApp y Telegram.

Firefox: Borrar el Historial de URLs en la Barra de Direcciones

Firefox: Borrar el Historial de URLs en la Barra de Direcciones

Borra el historial de URLs de la barra de direcciones en Firefox y mantén tus sesiones privadas siguiendo estos pasos rápidos y sencillos.

Cómo Detectar y Reportar Estafadores en Facebook

Cómo Detectar y Reportar Estafadores en Facebook

Para reportar a un estafador en Facebook, haz clic en Más opciones y selecciona Encontrar soporte o reportar perfil. Luego completa el formulario de reporte.

Edge para Android: Cómo habilitar el bloqueador de anuncios

Edge para Android: Cómo habilitar el bloqueador de anuncios

Es posible que estés de acuerdo en ver algunos anuncios de vez en cuando, ya que nunca sabes cuándo podrías encontrar algo que quieres comprar. Sin embargo, a veces, los anunciantes no conocen el significado de la palabra suficiente, y los anuncios se vuelven intrusivos. Este artículo te mostrará cómo habilitar el bloqueador de anuncios en el navegador Microsoft Edge para Android.