04/04/2012
La siguiente nota, acompañada con un vídeo
práctico, tiene por objetivo mostrar el uso de ciertas herramientas
gratuitas para auditar entornos web en busca de vulnerabilidades XSS.
Según la OWASP los ataques XSS (Cross-Site Scripting)
siguen siendo los vencedores en cuanto a explotación de
vulnerabilidades en entornos web se refiere. Los ataques XSS tratan de
aprovecharse de vulnerabilidades generadas por una incorrecta validación
de datos de entrada en una aplicación web. Básicamente se trata de
engañar al usuario para que pulse la URL manipulada de forma precisa
para que al abrirse, ejecute código Javascript que será interpretado en
el navegador del usuario. Este tipo de ataques pueden ser utilizados
para robar cookies de sesión, inyectar código en nuestra página o
incluso comprometer nuestras máquinas con ayuda de frameworks como «BeEF» (Browser Exploitation Framework).
Generalmente estos ataques están catalogados como "no persistentes" al ejecutarse en el contexto del navegador sin modificar la página web original. Por otro lado, los conocidos como "persistentes"
son más peligrosos ya que el código Javascript es directamente
insertado en una base de datos de tal forma que todos los usuarios que
visualicen registros de dicha BBDD se verán afectados. Existe gran
cantidad de referencias sobre XSS para entender su funcionamiento, tipos y medidas preventivas recomendables para evitar este tipo de problemas.
Hasta hace unos años, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de cookies, redireccionamientos de URL, defacements, carga de iframes
con código malicioso, etc. pero poco a poco van surgiendo técnicas más
sofisticadas que van un paso más allá y que hacen valorar en mayor
medida la importancia de este tipo de ataques. «Shell of the Future» o «BeFF» son un claro ejemplo de ello.
El siguiente vídeo tiene por objetivo mostrar el uso de algunas
herramientas gratuitas para auditar nuestro sitio web en busca de
vulnerabilidades XSS. En un principio se utilizará la versión Free de Acunetix sobre una página de prueba. Posteriormente se mostrará XSSer, herramienta opensource creada especialmente para localizar y aprovecharse de vulnerabilidades XSS.
Buenas prácticas de programación y estar al día de los últimos
ataques y vulnerabilidades es la mejor receta para prevenir este tipo de
ataques.
INTECO-CERT cuenta con un servicio de suscripción
a través del que es posible conocer los últimos fallos que afectan a
determinados productos a través de notificaciones en el correo
electrónico. Adicionalmente se pueden realizar búsquedas en el
repositorio, con más de 50000 registros, que INTECO-CERT mantiene
mediante el "Buscador de vulnerabilidades".
http://cert.inteco.es
http://cert.inteco.es
No hay comentarios:
Publicar un comentario