¿Confías tu seguridad al XSS auditor de Chrome?

Facebooktwittergoogle_pluslinkedinmail

En esta entrada vamos a ver por qué no podemos confiar la seguridad de nuestra web al XSS auditor de Chrome.

Hace un tiempo ya realizamos una introducción a los ataques Cross-Site Scripting XSS. En estos el atacante utiliza las entradas de datos de un sitio web para inyectar scripts maliciosos (normalmente JavaScript) que después se ejecutarán en el navegador de otros usuarios.

Como estos ataques se basan en la entrada de datos en un sitio web, Chrome, entre otros navegadores, tiene un mecanismo de seguridad para evitarlos. El problema es que este mecanismo de seguridad tiene varios problemas según el tipo de XSS al que se enfrente.

El auditor de Chrome se ejecuta durante la fase de análisis del HTML e intenta encontrar reflejos de la solicitud en el cuerpo de la respuesta. Por lo tanto, en ningún caso podrá mitigar los ataques XSS almacenados, ya que la inyección no tiene porque producirse en la misma petición, o DOM, ya que la página en sí (la respuesta HTTP) no cambia, pero el código del lado del cliente contenido en la página se ejecuta de forma diferente debido a las modificaciones maliciosas que se han producido en el DOM.

En el caso de encontrar una posible reflexión, el auditor de Chrome puede ignorar el script malicioso, o puede bloquear la página para que esta no cargue y por el contrario aparezca una página de error ERR_BLOCKED_BY_XSS_AUDITOR.

Leer más

Introducción a los ataques Cross-Site Scripting XSS ( I )

Facebooktwittergoogle_pluslinkedinmail

En esta serie de artículos vamos a realizar una introducción a los ataques Cross-Site Scripting (XSS) con el objetivo de entender como funcionan, que peligros comportan y como aplicar las medidas necesarias para evitarlos.

Los ataques de tipo Cross-Site Scripting son un tipo de inyección. En esta el atacante utiliza las entradas de datos de un sitio web para inyectar scripts maliciosos (normalmente JavaScript) que después se ejecutarán en el navegador de otros usuarios, es decir, en las víctimas de este ataque.

Tipos de XSS

Podemos diferenciar los ataques XSS según si son o no persistentes y según donde se utilizan los datos no confiables. A continuación vemos un cuadro resumen ofrecido por OWASP de los tipos de XSS:

Cuadro resumen tipos de ataques XSS

Tras esto pasamos a detallar como funcionan los ataques en los cuales los datos no confiables se utilizan en el servidor:

Leer más