Anda di halaman 1dari 4

Cross Site Scripting

es un tipo de vulnerabilidad típico de aplicaciones web que consiste en la inyección de código que
pertenece al código original de la página web. Esta técnica de inyección es utilizada con fines
maliciosos

Cross Site XSS y no CSS

CSS (cascading style sheet) es una de hoja de estilos en cascada utilizado para dar estilos al
contenido de un documento HTML.

XSS ataques desde 1990

MICROSOFT le dio a este nombre a este ataque en el 2000

Se caracterizan en tres tipos los cuales son

 XSS reflejado tipo 1

 XSS persistente tipo 2

 DOM base tipo 0

Según la OWASP lo diferenciaron de esta forma

SERVIDOR

 XSS almacenado en el servidor

 XSS reflejado en el servidor

CLIENTE

 XSS almacenado en el cliente

 XSS reflejado en el cliente

 DOM base XSS


XSS REFLEJADO

Es el tipo de inyección solo se mostrará en el navegador en donde sea inyectado el código


generando ningún daño a la integridad de la página web, este tipo de información puede afectar a
los usuarios

ejemplo: cuando inyectan un código javascript en un buscador

codigo alert en el navegador causa XSS

XSS ALMACENADO

Este tipo de inyección es almacenada en alguna parte del sitio web por lo tanto el daño sera visible
a todos los usuarios que visiten el sitio hasta que este sea corregido

ejemplo se puede inyectar codigo javascript en una sección de comentarios causando que le
código se almacene el sitio web.

XSS DOM BASED

este tipo vulnerabilidad es simplemente XSS que aparece en el DOM (DOCUMENT OBJECT MODEL)
en lugar de ser parte del HTML

DOM

con el DOM un lenguaje de programación puede acceder y modificar todos los elementos del
HTML. cuando la página se carga el navegador crea un DOM de la pagina

el filtro de lado del servidor no funciona ya que esta vulnerabilidad afecta una vez haya sido creado
el DOM

los elementos HTML son tratados como objetos

DOM en HTML es un estándar en obtener, modificar, agregar o eliminar elementos del HTML
DOM (Document Objet Model)

Convierte las etiquetas de cuerpo pricinpales de una pagina web como el root element, head,
body, title, a, h1 las conviete en elementos o en objetos.

QUE SE SE PUEDE HACER CON EL DOM

 JavaScript puede cambiar todos los element HTML de la pagina.

 JavaScript puede cambiar todos los atributos HTML de la pagina.

 JavaScript puede cambiar todos los estilos Css de la pagina.

 JavaScript puede cambiar todos los elementos y atributos existentes en la pagina

 JavaScript puede añadir nuevos elementos y atributos HTML a la pagina

 JavaScript puede reaccionar a todos los elementos HTML existentes en la pagina

 JavaScript puede crear nuevos eventos HTML en la pagina


Que se puede hacer con esta vulnerabilidad

 Phising : robar credencialaes

 Deface: malformar la pagina web

 Robar Credenciales: robando las cookies

 Troyanizar Navegadores: hace que el navegador reacione de una forma indeviday


poder espiar a los usuarios esto puede ocacionar una una vulnerabilidad en el navegador
permitiendo controlar

 Redirigir el trafico: redirigir el trafico de datos de una pagina web importante a un


sitio web con publicidad para obtener beneficios economicos.

Metodos de inyeccion

 Formularios: comun y corriente, busqueda de palabra claves

 URL: analizando el URL cuando enviamos una peticion se muestra en una seccion
una peticion el texto enviado, donde podemos manipularlo y asi poder inyectar codigo
malicioso

 Inyeccion por Cookies:editar hacer maling de browser al momento de enviar una


cookie puede ser interceptada modificada para si poder ingresar javascript en un valor de
la cookie ysi es presentada en el HTML esta va ser mostrada en el navegador en vez de
mostrar el valor agragado mostrara una alerta

Para dectetar estas vulnerabilidades tenemos un framework XENOTIX

OWAP XENOTIX

Es un framework orientado a la explotacion y deteccion de XSS, el cual cuenta con una gran
cantidad de payloads (carga de utilidad) para evitar los filtros de seguridad y de esa manera
identificr secciones vulnetables

Xenotic asegura 0 falsos positivos

XSSPOSED

Este sitio registra las vulnerabilidades de XSS encontradas en diferentes sitios permitiendo a
investigadores publicar totalmente la vulnerabilidad o pedir una recompensa por la revelacion de
la vulnerabilidad a las web masters y no haciendose publica.

XSSposed verifica la vulnerablidad antes de aceptarla.

XSSposed selecciona dominio vip según la popularidad del sitio.