El XSS por sus siglas en ingles cross-site scripting, es un ataque de tipo Malware, donde los hackers inyectan un script en la Pagina Web, convirtiendo la misma en Maliciosa, logrado así estar en una pagina web "confiable" en peligrosa en el momento que el usuario active el script por accidente. Dicho ataque funciona para el robo de información, vulnerando a todos los usuarios.
El script se usa frecuentemente en los acceso de inicio de sesión, para así robar los datos, además de las cookies del navegador de la victima. Registrando los datos y siendo enviados al hacker, estando a disposición el uso de la información proporcionada.
Un ataque XSS, se refiere a la tarea de inyectar un código malicioso de una web agresora a la web objetivo. Así surgió el término, refiriéndose a la secuencia de comandos a sitios cruzados. Originalmente era exclusivo del lenguaje de programación JavaScript. Después de décadas que se usara este nombre, el término XSS se comenzó a atribuir en otros tipos de lenguajes de programación, mencionando algunos como ActiveX, Flash, PHP, también se puede incluir HTML, entre otros.
Tipos de XSS
XSS Indirecto o reflejado: Es el mas común, la acción surge cuando el usuario envía la solicitud al servidor de una web. El script ya inyectado en la web, envía los datos al hacker, retornando un mensaje al usuario de error. Todo ocurre cuando presionan un botón o enlace, ejecutando el código y simultáneamente se descarga el malware en el dispositivo. Todo tiene lugar en el navegador, siendo engañado de tal manera que no detecta ninguna irregularidad entre pagina web y servidor.
XSS Directo o Persistente: En este tipo de ataque, se produce cuando una web o aplicación esta infectada, todas sus respuestas HTTP almacenan los datos y los envía al hacker de manera automática. Solo con hacer click en una caja de comentarios ya estaría activando el código malicioso. No va dirigido a un objetivo especifico, simplemente el hacker coloca el malware y espera a recibir datos, se puede llamar hack pasivo.
XSS DOM: En español Modelo de Objetos del Documento, se basa en ataque casi indetectable, se basa en entrar a una web, accediendo a todo el contenido sin necesidad de pasar por un servidor. Es decir, el hacker puede obtener todos los datos, sin que la victima pueda notar un comportamiento inusual dentro de la misma. Es difícil de detectar, si se carece de conocimientos amplios de tecnología.
¿Qué afectación puede causar el XSS?
Ser afectado por ataque XSS, puede conllevar al robo de identidad, como son las contraseñas, datos de acceso, incluso las cuentas de bancos con respecto a la llamada banca electrónica. También es capaz de infectar los dispositivos móviles, accediendo aun mas en los datos personales.
¿Cómo evitar ataques XSS?
Los ataques XSS, no van dirigido regularmente a un usuario en especifico, sino que se infiltra en paginas web. Por lo que protegerse de estos ataques resulta muy difícil. Entre las recomendaciones que se pueden nombrar para evitar caer en XSS:
No entrar en paginas web de procedencia dudosa, eso incluye links poco comunes o raros.
Usar navegadores de "confianza", ya que la gran mayoría como son Chrome, Mozilla, Safari, tienen protecciones contra amenazas XSS, esto no implica que protegen al 100%.
Mantener actualizado los navegadores, es una ventaja porque siempre están saliendo parches de seguridad, o mejoras de los mismo en el ámbito de la seguridad.
Si tienes conocimientos de informática, vigilar el código fuente de las paginas, detectando scripts irregulares que puedan comprometer la seguridad.
¿Quieres saber más?
Comments