1. ¿Que es el XSS?
XSS (Cross Site Scripting) es una vulnerabilidad en el lenguaje de marcado Hipertexto
HTML que consiste en modificar el código fuente de la aplicación, el bug es producido
cuando no se validan correctamente los datos de entrada que son usados en websites,
chats, mensajes, foros o cualquier otro software que lleve estos códigos vulnerables.
Generalmente este tipo de vulnerabilidad es aplicado con la finalidad de obtener las
coockies almacenadas en el servidor y entrar en el panel administrativo, sin embargo,
algunos internautas realizan el método solo para ver como las imágenes o comentarios
son incluidos en el website.
2. ¿Por que se le llama XSS y no CSS?
Si unimos las iníciales "Cross Site Scripting" obtendremos el siguiente resultado
"CSS", sin embargo, este nombre no se le puede dar ya que seria confundido con las
hojas de estilo de cascada (CSS = Cascading Style Sheets) por lo que se llego a la
conclusión de que la abreviación correcta para este tipo de vulnerabilidad seria XSS
3. ¿Como se clasifican los ataques XSS?
Generalmente los internautas suelen clasificar los ataques XSS en directas e
indirectas, las directas son aquellos ataques que se explotan en foros, mensajes o
comentarios, mientras que las indirectas son explotadas en framesets o aplicando
redireccionamientos del website o la aplicación vulnerable.
4. ¿Como encontrar servidores vulnerables?
Para saber si un servidor es vulnerable se suele buscar aquellas areas en donde nos
permitan introducir textos, como por ejemplo los buscadores, libro de visitas, chats,
foros... etc.). Si el atacante busca una victima al azar puede usar los buscadores
como google o yahoo y ver por todo lo que este relacionado con los websites en donde
se le puedan incluir textos.
5. ¿Como saber si el servidor es vulnerable?
Uno de los procedimientos aplicados para saber si un servidor es vulnerable al XSS
es incluir el código "<H1>XSS" en donde la aplicación (websites, chats, foros...)
permita incluir textos, si vemos las letras "XSS" en grande significa que es
vulnerable, en el siguiente video se muestra dicho procedimiento:
Para ver los enlaces debes ser usuario
Crear Usuario o
Hacer SesionDescarga del video
A continuación se mostrara la técnica de como incluir textos e imágenes en los
websites mediante la vulnerabilidad del XSS (Cross Site Scripting):
Para ver los enlaces debes ser usuario
Crear Usuario o
Hacer SesionDescarga
Autor