Las secuencias de comandos entre sitios son un ataque del lado del cliente en el que el pirata informático inyecta un código malicioso en la aplicación web o el sitio web vulnerable. Este ataque puede causar un gran daño a la empresa y sus clientes, las consecuencias pueden incluir: robo de contraseñas, redirección a sitios maliciosos, modificaciones del contenido de la página, etc. Si el atacante obtiene las cookies de sesión del usuario autenticado, puede hacerse pasar por el usuario autenticado y continuar ejecutando tareas en nombre del usuario autenticado. Las vulnerabilidades XSS se han utilizado para crear gusanos de redes sociales, propagar malware, desfigurar sitios web y Phish para obtener credenciales.
Las secuencias de comandos entre sitios son de dos tipos:
- XSS almacenado.
- XSS reflejado.
1. XSS almacenado: las vulnerabilidades en las que el pirata informático inyecta códigos maliciosos directamente en la base de datos o el servidor. Aquí, la aplicación o el sitio web recibe datos o códigos maliciosos de fuentes no autorizadas y los almacena en el sistema sin verificarlos. Cuando una víctima abre la página web afectada en un navegador, el código de ataque XSS se muestra en el navegador de la víctima como parte del código HTML (tal como lo haría un comentario legítimo). Por lo tanto, la víctima terminará ejecutando el script malicioso una vez que la página se vea en su navegador.
2. XSS reflejado: esta vulnerabilidad permite al hacker inyectar código malicioso en el navegador de la víctima en forma de código HTML. El usuario se infecta con el código solo cuando hace clic en él. El XSS reflejado es menos peligroso en comparación con el XSS almacenado porque el contenido malicioso no se almacena de forma permanente en la base de datos/servidor. Hay varias formas en las que un atacante puede inducir a un usuario víctima a realizar una solicitud que controle, para entregar un ataque XSS reflejado. Estos incluyen poner enlaces en un sitio web controlado por el atacante, o enviar un enlace en un correo electrónico, tweet o anuncios emergentes.
XSS ALMACENADOS |
XSS REFLEJADO |
---|---|
También conocido como XSS permanente. | También conocido como XSS temporal. |
El código malicioso se almacena en la aplicación. | El código malicioso no se almacena en la aplicación. |
Causa más daño a la aplicación web o al sitio web. | Causa menos daño a la aplicación web o al sitio web. |
Se dirige a todos los usuarios que utilizan la aplicación web o el sitio web. | Se dirige a pocos usuarios que utilizan la aplicación web o el sitio web. |
El código malicioso se activa cuando la víctima visita la página web Comprometida. | El código malicioso se activa después de hacer clic en un enlace. |
Más difícil de realizar. | Más fácil de realizar. |
Publicación traducida automáticamente
Artículo escrito por pradiptamukherjee y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA