Inicio > SERVIDORES APACHE: CÓMO PREVENIR EL CROSS-SITE SCRIPTING (XSS)

SERVIDORES APACHE: CÓMO PREVENIR EL CROSS-SITE SCRIPTING (XSS)

14.12.2017 07:33

Seguimos mejorando la seguridad de nuestro servidor.

XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad típica de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario, código JavaScript o en otro lenguaje similar, dándole la oportunidad de aprovechar esa acción con diferentes fines malignos.

El Cross Site Scripting se previene mediante un sistema de seguridad de defensa por capas. En ese sistema de seguridad quedan incluidos, entre otros, el programador de la aplicación, el navegador y eventualmente un cortafuegos para aplicaicones web (WAF, por sus siglas en inglés). También es posible habilitar la protección contra este ataque en el propio servidor.

Para eso abrimos el archivo httpd.conf y agregamos la siguiente directiva:

<IfModule mod_headers.c>

Header set X-XSS-Protection "1; mode=block"

</IfModule>

Recordamos que deberá reiniciarse el servidor para que la medida se haga efectiva.

CUIDADO, ESTA DIRECTIVA POR SÍ SOLA NO IMPIDE TODA FORMA DE XSS.

Acabamos de probarla en nuestra versión del servidor y logramos encontrar una "carga útil" que la burló. Es necesario implementar el sistema de seguridad de defensa por capas.

Artículo relacionado:

geoestrategia.webnode.es/news/servidores-apache-como-ocultar-la-version-del-servidor/

Volver

SERVIDORES APACHE: CÓMO PREVENIR EL CROSS-SITE SCRIPTING (XSS)

Buscar en el sitio

Contacto