Ataques a través de canales XSS (gusano en webmails)
Encuentro sumamente interesante este documento de Ferruh Mavituna pensando en las posibles implicancias de este ataque a tráves de XSS.
Traduzco (sin garantías) el comienzo del documento.
¿Qué es un canal XSS?
Un canal XSS es un canal de comunicación interactiva entre dos sistemas. Este canal ha sido abierto a través de un ataque XSS. Técnicamente es una aplicación AJAX con la cual ejecutar comandos, enviar respuestas y disponer de un canal de comunicación entre los sistemas.
XSS Shell es una herramienta para construir un canal XSS entre una víctima y un atacante y que este último pueda controla el navegador de la víctima a través del envío de comandos. Esta comunicación es bidireccional.
El autor advierte que en el documento se asume que el lector está familiarizado con los ataques XSS.
Esto también me hace acordar del Scanner de XSS en Javascript y del nuevo worm italiano Nduja Connection capaz de reproducirse en diferentes proveedores de webmail a través de fallos XSS (ver video).
Y ya que estamos porque no mencionar las Chuletas de XSS y la herramienta automática Google Lemon utilizada por Google en sus propias aplicaciones
cfb
Traduzco (sin garantías) el comienzo del documento.
¿Qué es un canal XSS?
Un canal XSS es un canal de comunicación interactiva entre dos sistemas. Este canal ha sido abierto a través de un ataque XSS. Técnicamente es una aplicación AJAX con la cual ejecutar comandos, enviar respuestas y disponer de un canal de comunicación entre los sistemas.
XSS Shell es una herramienta para construir un canal XSS entre una víctima y un atacante y que este último pueda controla el navegador de la víctima a través del envío de comandos. Esta comunicación es bidireccional.
El autor advierte que en el documento se asume que el lector está familiarizado con los ataques XSS.
Esto también me hace acordar del Scanner de XSS en Javascript y del nuevo worm italiano Nduja Connection capaz de reproducirse en diferentes proveedores de webmail a través de fallos XSS (ver video).
Y ya que estamos porque no mencionar las Chuletas de XSS y la herramienta automática Google Lemon utilizada por Google en sus propias aplicaciones
cfb
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!