1 / 7

Cross Site Scripting (XSS)

Mario López 803135 Enrique Gorian 802740 Luis Avilés 801717. Cross Site Scripting (XSS). XSS. Abarcaban cualquier ataque que permita ejecutar código de "scripting" en el contexto de otro sitio web .

abdul-gordon
Download Presentation

Cross Site Scripting (XSS)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Mario López 803135 Enrique Gorian 802740 Luis Avilés 801717 Cross Site Scripting (XSS)

  2. XSS • Abarcaban cualquier ataque que permita ejecutar código de "scripting" en el contexto de otro sitio web. • Aprovecha que no se validan correctamente los datos de entrada que son usados en algunas aplicaciones permitiendo enviar un script malicioso a la aplicación. • Para funcionar necesitan un punto de entrada, que suelen ser los formularios

  3. Usos • Robo de identidad • Acceso a información restringida • Obtener acceso a contenido de pago • Espiar hábitos de navegación de usuarios • Alterar funcionalidad de navegadores • Modificar configuraciones de aplicaciones web • Ataques DoS

  4. Tipos • Indirecta • Cuandoel código maligno se inyecta a través de formularios, a través de los parámetros de una URL, programas en Flash, un enlace malicioso e incluso vídeos. • Directa • Cuando el atacante consigue embeber código HTML malicioso, directamente en los sitios Webs que así lo permiten.

  5. ¿Cómo prevenir? • Filtros • Escapar caracteres • Usos de navegadores web

  6. Ejemplos • Youtube • Se inyectaba código HTML desde ellárea de comentarios en Youtube. • Facebook • se basaba en el acceso a través de Java Scripts, de las cookies del usuario de Facebook, logrando re direccionar su contenido a un servidor web controlado por el atacante.

  7. Fuentes • http://www.taringa.net/posts/ciencia-educacion/9722519.R/XSS---Cross-Site-Scripting.html • http://www.acunetix.com/websitesecurity/xss.htm • http://www.acunetix.com/blog/web-security-zone/articles/preventing-xss-attacks/

More Related