La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Secuencia de Comandos en Sitios Cruzados XSS

Publicada porPaula Vázquez Sáez Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Secuencia de Comandos en Sitios Cruzados XSS"— Transcripción de la presentación:

1 Secuencia de Comandos en Sitios Cruzados XSS
INTEGRANTES MICHELLE ZAPATA GREISY LARGO

2 Cross site scripting XSS, del inglés Cross-site scripting (Cruzar código al sitio) es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.

3 Su nombre original es "Cross Site Scripting", y es abreviado como XSS para no ser confundido con las siglas CSS, (hojas de estilo en cascada). Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque que permitiera ejecutar código de "scripting", como VBScript o JavaScript, en el contexto de otro sitio web

4 Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencia de comandos en el navegador de la victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso.

5 Los ataques XSS se pueden categorizar de la siguiente forma:
Los ataques XSS se pueden categorizar de la siguiente forma: Almacenados y Reflejados

6 Los ataques XSS reflejados
Los ataques reflejados son aquellos donde el código inyectado es reflejado fuera del servidor, tal como en un mensaje de error, el resultado de una búsqueda o cualquier otra respuesta que incluya una parte de la entrada enviada al servidor como parte de una solicitud.

7 Los ataques XSS almacenados
Los ataques almacenados son aquellos en los que el código inyectado reside permanentemente en los servidores que lo envían, ya sea en la base de datos, en un mensaje de un foro, en un log de un visitante, campo de comentario, etc. La víctima descarga el script malicioso del servidor cuando hace alguna solicitud de contenido

8 Ejemplo escenario de ataques
La aplicación utiliza datos no confiables en la construcción del siguiente código HTML sin validar o escapar los datos: (String) page += "<input name='creditcard' type='TEXT‘ value='" + request.getParameter("CC") + "'>"; El atacante modifica el parámetro ‘CC’ en el navegador: '><script>document.location='

9 CONSECUENCIAS Hacen pública la información de las cookies del usuario, permitiendo a los atacantes secuestrar la sesión y tomar el control de la misma. divulgación de los archivos del usuario, la instalación de troyanos, la redirección del usuario a alguna otra página y la modificación de la presentación del contenido

10 CONSECUENCIAS Otros ataques se pueden presentar desde los mismísimos servidores de aplicaciones o de web subyacentes ya que éstos generan páginas muy simples en caso de que ocurran algunos errores como en el caso del error 404 (Page not found) o un error 500 (Internal server error). Si estas páginas reflejan información de la petición del usuario (tal como la URL de la cual se quiso acceder), podría ser vulnerable a un ataque XSS reflejado.

11 ¿Como poder evitar esto?
Prevenir XSS requiere mantener los datos no confiables separados del contenido activo del navegador. La opción preferida es escapar todos los datos no confiables basados en el contexto HTML (cuerpo, atributo, JavaScript, CSS, o URL) donde los mismos serán ubicados. Los desarrolladores necesitan incluir esta técnica en sus aplicaciones al menos que el marco UI lo realice por ellos.

Descargar ppt "Secuencia de Comandos en Sitios Cruzados XSS"

Presentaciones similares

Presentación – Web Attack

Presentación – Web Attack
HTML Instituto Universitario de Tecnología Valencia

HTML Instituto Universitario de Tecnología Valencia
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
Internet y tecnologías web

Internet y tecnologías web
Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Servicio de correo electrónico vía web.

Jorge de Nova Segundo UD 6: Instalación y administración de servicios de correo electrónico Servicio de correo electrónico vía web.
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Navegadores Web.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Navegadores Web.
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Introducción a servidores

Introducción a servidores
Modelando aplicaciones

Modelando aplicaciones
Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia

Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia
Construcción de Páginas WEB

Construcción de Páginas WEB
CGI I La mayor parte de los elementos HTML de que disponemos permite al visitante visualizar los contenidos de un sitio, pero no interactuar con él. Dicho.

CGI I La mayor parte de los elementos HTML de que disponemos permite al visitante visualizar los contenidos de un sitio, pero no interactuar con él. Dicho.
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)

ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
Jessica Lizeth Flores Guerrero Coral Jazmín Ramírez Ortiz

Jessica Lizeth Flores Guerrero Coral Jazmín Ramírez Ortiz
Errores comunes al desarrollar websites

Errores comunes al desarrollar websites
ActiveX.

ActiveX.
SESION 3 VALIDACIÓN. Septiembre 2010 SESION 3: VALIDACIÓN Qué propiedad de los controles podemos validar Control Propiedad de Validación HtmlInputText.

SESION 3 VALIDACIÓN. Septiembre 2010 SESION 3: VALIDACIÓN Qué propiedad de los controles podemos validar Control Propiedad de Validación HtmlInputText.
Curso de PHP Tema 6: Seguridad.

Curso de PHP Tema 6: Seguridad.
JSP Copyright ISIPE – Instituto de Servicios Informáticos para Empresas – Universidad Siglo 21 – Cualquier copia u otro uso debe ser autorizado expresamente.

JSP Copyright ISIPE – Instituto de Servicios Informáticos para Empresas – Universidad Siglo 21 – Cualquier copia u otro uso debe ser autorizado expresamente.
Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.

Ing. Lorena Ruhl - Marco Rapallini - Javier FabiánMódulo 4: Seguridad y Aplicaciones Web Ing. A. Lorena Ruhl Universidad Tecnológica.

Presentaciones similares

Anuncios Google