Ataque de XSS (Cross site scripting)

¿Qué es un ataque de XSS (cross site scripting)?

El Cross Site Scripting (XSS) es la inyección de scripts maliciosos en sitios web seguros y fiables. Los fallos que permiten que esto ocurra son comunes. El script se envía entonces a los usuarios reales del sitio web (en lugar de ser el propio sitio el objetivo). Como los navegadores de esos usuarios confían en el sitio en cuestión, ejecutarán el script.

El ataque de XSS es un problema lo suficientemente grave como para haber entrado en la lista de los 10 principales riesgos de seguridad de las aplicaciones web de OWASP. Ocupó el puesto siete en 2017 antes de que la definición de cross site scripting se incorporara a la categoría «inyección» y se situó en el puesto tres en 2021.

¿Cómo funcionan los ataques de XSS?

Los estafadores que atacan a los usuarios de sitios web con cross site scripting lo hacen utilizando fallos en las aplicaciones web que les permiten inyectar código. Estos scripts suelen ser JavaScript del lado del cliente, que los hackers pueden inyectar en sitios que muestran contenidos de los usuarios. Como los sitios están abiertos a contenidos de fuentes no fiables, los piratas informáticos pueden utilizar aquellos que no implementan un escape o validación adecuados para realizar ataques de XSS.

Además de utilizar JavaScript, los cibercriminales también pueden utilizar Flash, HTML u otros tipos de código para llevar a cabo ataques de este tipo.

El código malicioso puede ejecutar una amplia gama de funciones. Puede redirigir a las víctimas a sitios web bajo el control del atacante, por ejemplo, o compartir los datos privados de la víctima, como la información de sesión y las cookies. Los estafadores también lo utilizan con el objetivo de establecer nuevas contraseñas en las cuentas de los usuarios como parte del fraude de robo de cuentas.

¿Cuáles son las vulnerabilidades del cross site scripting y por qué deberían importarte?

Las vulnerabilidades del cross site scripting se producen cuando un sitio web permite la entrada de datos por parte del usuario pero no los analiza antes de utilizarlos como salida. Las empresas deberían preocuparse por este tema, ya que las que no se aseguran de que sus sitios están protegidos contra ataques de XSS son vulnerables.

Los piratas informáticos pueden utilizar los sitios vulnerables de las empresas para atacar a sus usuarios reales, por ejemplo, utilizando sus navegadores para intentar apoderarse de sus cuentas.

Las empresas que permiten que esto ocurra al no utilizar los métodos de seguridad más avanzados, como herramientas para monitorear y detectar el fraude en tiempo real, se exponen a posibles daños financieros y de reputación.

Tipos de ataques de XSS

Aunque existen casi infinitas variaciones de este tipo de ataque, incluido lo que provocan en las computadoras de los usuarios, los detalles que figuran a continuación abarcan algunos de los más comunes.

Ataque de XSS reflejado

Los ataques de XSS reflejados se denominan así porque el script malicioso inyectado se refleja en el servidor web y llega a la víctima a través del correo electrónico, un formulario web o un sitio web que está bajo el control del atacante. Esto puede hacerse utilizando cualquier forma de respuesta que incluya parte o la totalidad del script, como respuesta a un resultado de búsqueda o como parte de una solicitud de error.

Ataque de XSS almacenado

A diferencia de los ataques reflejados, los ataques de XSS almacenados implican que el servidor objetivo almacena permanentemente el script malicioso inyectado. Para ello, los atacantes utilizan una serie de objetivos, como campos de comentarios y bases de datos, que luego envían el script malicioso a quienes los utilizan.

Cross site scripting ciego

Se produce cuando el atacante almacena el script inyectado en el servidor de la víctima, listo para ejecutarse más tarde. Este ejemplo de cross site scripting es un subtipo de ataque de XSS almacenado. Con este tipo de ataque, el código del atacante puede ser ejecutado en un momento posterior o utilizando una aplicación web diferente.

Ataque de XSS basado en DOM

Los ataques de XSS basados en DOM son claramente diferentes de los ataques reflejados y almacenados. Esto se debe a que el atacante modifica el entorno del modelo de objetos del documento (DOM), de modo que su script malicioso está contenido en el código del lado del cliente cuando un usuario carga la página.

Cómo determinar si tu empresa es vulnerable al cross site scripting

Las empresas que están preocupadas por sus vulnerabilidades de XSS tienen varias opciones. El primer paso que hay que dar es determinar las formas en que las aplicaciones web de la empresa pueden ser vulnerables. Se debe evaluar si la entrada y la salida de datos se analizan y desinfectan cuando se transfieren de un estado a otro. Si no es así, esto debería ser un indicador de alerta y justificar una mayor investigación sobre si se han explotado las vulnerabilidades de cross site scripting de la empresa.

Cualquier empresa puede ser vulnerable a los ataques de XSS, lo que significa que todas las empresas deben ser conscientes de este problema y adoptar un enfoque proactivo para limitar sus vulnerabilidades.

Cómo protegerte contra los ataques de XSS

Cuando se trata de seguridad informática, más vale prevenir que curar. Por eso es importante que las empresas construyan aplicaciones web sólidas y seguras desde el principio, con un conocimiento firme de cómo prevenir el cross site scripting. Esto significa:

• codificación robusta con la seguridad en su núcleo
• segmentación de la red
• medidas estrictas de control de acceso

La formación de los empleados también desempeña un papel importante en la prevención de los ataques de XSS, al igual que en la protección de las empresas frente al malware, el phishing, etc.

Términos relacionados

Artículos relacionados

Fuentes