¿Qué es?

El Cross-Site Scripting (XSS) es una vulnerabilidad que permite a un atacante ejecutar scripts maliciosos (normalmente JavaScript) en el navegador de otros usuarios que visitan una página web legítima.

A diferencia de otros ataques que buscan hackear el servidor directamente, el XSS tiene como objetivo principal a los usuarios de la web, utilizando la confianza que el usuario tiene en un sitio específico para robar sus datos.


El Funcionamiento:


Desde la vista del Atacante:

Para el atacante, el navegador de la víctima es el escenario del crimen. Su proceso suele ser:

Búsqueda: Encuentra un lugar en la web donde los datos que él escribe se muestren a otros (como un foro, un libro de visitas o un buscador).
Inyección: En lugar de escribir un mensaje normal, escribe un pequeño código como: <script>alert(document.cookie)</script>.
Ejecución: Cuando otros usuarios cargan esa página, su navegador lee el código del atacante y lo ejecuta automáticamente, permitiéndole robar "cookies" de sesión o redirigirlos a webs falsas.


Desde la vista de la Víctima (El Usuario):

Para la víctima, el ataque es totalmente invisible. Ella confía en la página web que está visitando:

La trampa: La víctima entra en su sitio de noticias favorito o en su perfil social.
El robo: Sin que aparezca ninguna ventana extraña ni aviso de seguridad, el script del atacante se ejecuta en segundo plano, enviando las credenciales de la víctima al servidor del hacker mientras ella simplemente lee un comentario.


A continuacion adjunto un video que explica de manera perfecta y sencilla el funcionamiento de XSS.


Un Caso Real: El gusano Samy en MySpace (2005)

Uno de los ataques XSS más famosos de la historia fue el gusano "Samy", que afectó a la red social MySpace.

Impacto: Un joven llamado Samy Kamkar creó un script que, al visitar su perfil, te añadía automáticamente como amigo y copiaba el script en tu propio perfil. En solo 20 horas, ¡tenía más de 1 millón de solicitudes de amistad!
Consecuencia: Aunque Samy no tenía intenciones maliciosas (era solo un experimento), demostró lo rápido que un ataque XSS puede propagarse y tomar el control de miles de cuentas en cuestión de minutos.


Curiosidades del XSS

JavaScript es la clave: Casi todos los ataques XSS utilizan JavaScript porque es el lenguaje que todos los navegadores modernos ejecutan por defecto para dar interactividad a las webs.

No solo en formularios: Un ataque XSS también puede viajar escondido dentro de una URL. Si alguien te envía un enlace sospechoso y haces clic, podrías estar ejecutando el código del atacante sin saberlo.

Sanitización: La mejor defensa contra el XSS es que los programadores "limpien" (saniticen) siempre lo que escriben los usuarios, prohibiendo que etiquetas como <script> se guarden en la base de datos.

Para acceder al juego presiona el boton de continuar.

Continuar