VULNERABILIDADES DE APLICACIONES WEB: SUBIDA DE ARCHIVOS PELIGROSOS (VIII) - CROSS-SITE SCRIPTING

28.03.2018 14:33
 
El Cross-site scripting (XSS) es una vulnerabilidad de las aplicaciones web que le permite a un pirata informático inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar. Eso le permite llevar a cabo, por ejemplo, desfiguración de la página y robo de cookies.
 
Si se puede subir a determinado sitio archivos *.htm ó *.html se podrá evitar algunas de las medidas de seguridad de la defensa en profundidad que impiden el XSS.
 
En determinadas circunstancias el siguiente archivo podrá evitar algunas de esas medidas de seguridad y crear un mensaje de alerta en el navegador del usuario con las cookies del usuario para el sitio en cuestión:
 
<html>
<head>
<title>Subido</title>
</head>
<body>
<h1>Hola</h1>
<script>alert(document.cookie)</script>
</body>
</html>
 
Como vemos la Subida de archivos peligrosos ofrece muchísimas posibilidades, todavía no hemos descripto todas. Por otra parte no es una vulnerabilidad fácil de evitar por completo por lo que se deberá ser extremadamente cuateloso respecto a la misma. La prevención y las revisiones para detectar archivos subidos deberán ser rigurosas. 
 
Artículos relacionados:
 
La vulnerabilidad propiamente dicha está descripta en el primero de los artículos relacionados.
 
Volver