jueves, 8 de agosto de 2013

XSS.- ¿Cross Site Scripting? ¿No tendría que ser CSS?

Nada mas lejos de la realidad, se le puso en nombre de XSS para no con fundirse con las paginas de estilo en cascada también llamadas CSS. Bueno, como ya os hablé un poco por encima de SQL Injection ahora me gustaría centrarme en el otro vector de ataque famoso que son las vulnerabilidades XSS (Cross Site Scripting).


Este tipo de vulnerabilidades se basan en la inyección de código HTML o JavaScripten una web, con el fin de que el navegador del usuario ejecute ese código inyectado y vea la pagina alterada al visitarla. Como he dicho el objetivo principal es el navegador del usuario pero cierto tipo de este tipo de vulnerabilidades pueden afectar al servidor  o en una aplicación de la pagina. 

Imaginaros que alguien encontrara una vulnerabilidad de este tipo en la pagina de login de un banco y os pusiera un campo extra en esa pagina que seria el PIN de vuestra cuenta y una vez pongáis todo lo que al malo le interesa lo pudiera guardar. obteniendo de esta manera las credenciales de todos los que piquen. 

Es pero que os haya quedado un poco mas claro lo que es un Cross Site Scripting o XSS en su defecto. Sed Buenos ;) 

No hay comentarios:

Publicar un comentario