XSS – Cross Site Scripting

Sin comentarios

Las inyecciones de código, conocidas como XSS del inglés Cross Site Scripting, son una de las vulnerabilidades y fallos de seguridad más comunes en las aplicaciones web.

Este problema surge cuando no se controla correctamente la información que recibe una aplicación (a través de los diferentes formularios, etc.) o la forma cómo presenta esta información al exterior (sesiones de usuario, enlaces a otras páginas con identificadores, etc.). Quizás el ejemplo más sencillo sea permitir que en un formulario con un campo de texto el usuario pueda escribir comandos, ya sea un script o un código HTML, y que el servidor los ejecute al recibirlos. Así un usuario malicioso podría hacer que nuestros servidores ejecuten código indeseado simplemente rellenando un formulario de contacto.

Esta vulnerabilidad no afecta pues a un software o programa en concreto sino a todas aquellas aplicaciones que interacciones con usuarios y que no hayan sido desarrolladas con la seguridad en mente. Con la extensión de uso de las plataformas genéricas de creación de páginas web y la proliferación de diferentes plugins automáticos, de autores independientes y sin relación entre sí, para la gestión o presentación de diferentes partes de estas páginas web se hace necesario revisar correctamente el resultado final para evitar sufrir este tipo de vulnerabilidad.

Tener una página web publicada en Internet conlleva algunos riesgos. De igual forma que pueden forzar la puerta de nuestra oficina o tienda en Internet hay gente interesada en utilizar nuestros servicios web de forma maliciosa. Aunque obviamente las grandes empresas tienen una mayor visibilidad que nuestro negocio no debemos dejar de tomar medidas de protección básicas para evitar los ataques más habituales. Consulta con tu proveedor de servicios informáticos para realizar una auditoria de seguridad en tus páginas y evitar sustos futuros.

Por cierto, ¿cómo llevas las copias de seguridad?

Ymant | comunicaciónXSS – Cross Site Scripting

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *