Los ataques XSS son cada día más frecuentes, pareciera ser que al desarrollador no le interesa o por desconocimiento no sabe a lo que se está exponiendo, pero por otro lado, los desarrolladores de los navegadores si están concientes y desarrollan técnicas anti XSS. La forma más común de realizar un ataque XSS es insertando tags cómo parámetor de URL o bien dentro de un campo del formulario, como por ejemplo el conocido:
<script>alert(‘this.cookie’)</script>
Cuando los ataques XSS mediante tags no son posibles, existe la posibilidad de realizar el ataque usando las propiedades de cada tag. Puede ser usando el atributo style, src o algúnos gatilladores de eventos como onMouseOver, etc. Para poder realizar el ataque es necesario usar comillas (simples o dobles), aunque tambien en algunos casos existe la posibilidad de no usarlas, para poder agregar una nueva propiedad al tag en el cual hemos conseguido insertar el código.
Comentarios recientes