5 abr 2012

Auditando vulnerabilidades XSS

La siguiente nota, acompañada con un vídeo práctico, tiene por objetivo mostrar el uso de ciertas herramientas gratuitas para auditar entornos web en busca de vulnerabilidades XSS.

Según la OWASP los ataques XSS (Cross-Site Scripting)  siguen siendo los vencedores en cuanto a explotación de vulnerabilidades en entornos web se refiere. Los ataques XSS tratan de aprovecharse de vulnerabilidades generadas por una incorrecta validación de datos de entrada en una aplicación web. Básicamente se trata de engañar al usuario para que pulse la URL manipulada de forma precisa para que al abrirse, ejecute código Javascript que será interpretado en el navegador del usuario. Este tipo de ataques pueden ser utilizados para robar cookies de sesión, inyectar código en nuestra página o incluso comprometer nuestras máquinas con ayuda de frameworks como «BeEF» (Browser Exploitation Framework) .

Generalmente estos ataques están catalogados como "no persistentes" al ejecutarse en el contexto del navegador sin modificar la página web original. Por otro lado, los conocidos como "persistentes" son más peligrosos ya que el código Javascript es directamente insertado en una base de datos de tal forma que todos los usuarios que visualicen registros de dicha BBDD se verán afectados. Existe gran cantidad de referencias sobre XSS  para entender su funcionamiento, tipos  y medidas preventivas  recomendables para evitar este tipo de problemas.

Hasta hace unos años, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de cookies, redireccionamientos de URL, defacements, carga de iframes con código malicioso, etc. pero poco a poco van surgiendo técnicas más sofisticadas que van un paso más allá y que hacen valorar en mayor medida la importancia de este tipo de ataques. «Shell of the Future»  o «BeFF» son un claro ejemplo de ello.

El siguiente vídeo tiene por objetivo mostrar el uso de algunas herramientas gratuitas para auditar nuestro sitio web en busca de vulnerabilidades XSS. En un principio se utilizará la versión Free de Acunetix  sobre una página de prueba. Posteriormente se mostrará XSSer , herramienta opensource creada especialmente para localizar y aprovecharse de vulnerabilidades XSS.
 
Buenas prácticas de programación y estar al día de los últimos ataques y vulnerabilidades es la mejor receta para prevenir este tipo de ataques.

INTECO-CERT cuenta con un servicio de suscripción a través del que es posible conocer los últimos fallos que afectan a determinados productos a través de notificaciones en el correo electrónico. Adicionalmente se pueden realizar búsquedas en el repositorio, con más de 50000 registros, que INTECO-CERT mantiene mediante el "Buscador de vulnerabilidades".

Fuente: INTECO

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!