Omar Palomino
omarc320@gmail.com
opalomino@kunak.com.pe
#whoami
• Ing. Sistemas – ISO 27001 Lead Auditor, CISM,
C|EH, C)PTE, C)SWAE, C)PEH, ITILv3, C)ISSO
• Instructor Oficial de MILE2
• Consultor de Kunak Consulting SAC
http://www.kunak.com.pe
• Psicólogo que aun no comienza sus estudios….
• Escritor en mis tiempos libres:
http://www.el-palomo.com
opalomino@kunak.com.pe
AGENDA
A. CONCEPTO XSS
No. Existe una diferencia importante entre XSS y SQLi, los ataques de Cross
Site Scripting (XSS) se ejecutan en el navegador web del CLIENTE. Por eso
XSS cabe dentro de la categoría de Ataques del Lado del Cliente (Client Side
Attack).
Por otro lado las inyecciones SQL (SQLi) se ejecutan en el servidor, es decir,
el código es procesador en el servidor web y ejecutado en la Base de Datos
que soporta la aplicación.
1. ¿Qué es Cross Site Scripting?
¿ Qué es JAVASCRIPT?
Datos importantes:
A. JavaScript no funciona igual en todos los navegadores, es decir, no todos los navegadores
interpretan el código de la misma manera.
B. La ejecución de código JAVASCRIPT puede ser deshabilitado en los navegadores.
C. Aplicar controles de seguridad a nivel de JAVASCRIPT es un GRAVE ERROR.
1. ¿Qué es Cross Site Scripting?
<html>
<head>
<script>
alert("hola Mundo");
</script>
</head>
<body>
Hola mundo
</body>
</html>
1. ¿Qué es Cross Site Scripting?
El XSS reflejado es un ataque que sólo afecta a los usuarios que ejecutan
el script a través del navegador.
EJEMPLOS
1. ¿Qué es Cross Site Scripting?
Robando cookies
EJEMPLOS
1. ¿Qué es Cross Site Scripting?