XSS - Historial de revisiones

Carlos idict: Texto reemplazado: «
» por «»

2019-09-05T07:27:47Z

Texto reemplazado: «<div align="justify">» por «»

Iliana jc en 18:58 4 jul 2012

2012-07-04T18:58:18Z

Iliana jc en 18:56 4 jul 2012

2012-07-04T18:56:40Z

Iliana jc en 18:55 4 jul 2012

2012-07-04T18:55:20Z

Iliana jc en 18:50 4 jul 2012

2012-07-04T18:50:09Z

Carlos idict en 14:59 25 jun 2012

2012-06-25T14:59:44Z

Carlos idict en 14:58 25 jun 2012

2012-06-25T14:58:42Z

Lanyin jc.stgo: /* XSS */

2011-09-23T16:26:45Z

‎XSS

Rarcas0104ad en 19:26 11 ago 2011

2011-08-11T19:26:54Z

Rarcas0104ad en 19:24 11 ago 2011

2011-08-11T19:24:10Z

@@ Línea 5: / Línea 5: @@
 |concepto= Es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.
 }}
-<div align="justify">
 '''XSS.''' Del inglés Cross-site scripting  (Cruzar Código al Sitio) es un tipo de  inseguridad informática o agujero de seguridad basado en la explotación  de vulnerabilidades del sistema de validación de [[HTML]] incrustado. A  grandes rasgos, el XSS consiste en inyectar código (el mas común:  [[Javascript]]) que produzca un cambio en la página y nos permita  aprovechar la confianza que tienen los usuarios a dicho sitio. El XSS  nos permite defacear una página.

@@ Línea 5: / Línea 5: @@
 |concepto= Es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.
 }}
+<div align="justify">
 '''XSS.''' Del inglés Cross-site scripting  (Cruzar Código al Sitio) es un tipo de  inseguridad informática o agujero de seguridad basado en la explotación  de vulnerabilidades del sistema de validación de [[HTML]] incrustado. A  grandes rasgos, el XSS consiste en inyectar código (el mas común:  [[Javascript]]) que produzca un cambio en la página y nos permita  aprovechar la confianza que tienen los usuarios a dicho sitio. El XSS  nos permite defacear una página.
@@ Línea 43: / Línea 43: @@
 *[http://www.taringa.net/posts/ciencia-educacion/9722519.R/XSS---Cross-Site-Scripting.html XSS en Taringa]
 [[Category:Seguridad_informática]]

@@ Línea 1: / Línea 1: @@
 {{Definición
 |nombre= XSS (Cross-site scripting )
@@ Línea 8: / Línea 7: @@
 '''XSS.''' Del inglés Cross-site scripting  (Cruzar Código al Sitio) es un tipo de  inseguridad informática o agujero de seguridad basado en la explotación  de vulnerabilidades del sistema de validación de [[HTML]] incrustado. A  grandes rasgos, el XSS consiste en inyectar código (el mas común:  [[Javascript]]) que produzca un cambio en la página y nos permita  aprovechar la confianza que tienen los usuarios a dicho sitio. El XSS  nos permite defacear una página.
 ==Características==
@@ Línea 28: / Línea 26: @@
 ==Como evitar el XSS==
 El XSS se produce cuando no filtramos los datos pasados que luego se colocan en el documento HTML que conforma nuestra página. Generalmente con filtrar los símbolos < y > ya lo evitamos, sin embargo, todo depende del contexto. En algunas ocasiones también tenemos que filtrar la comilla doble y la simple ya que el dato ingresado se coloca como dirección para un vínculo.
 El término [[Bypass]] es usado para designar un método para saltear el filtro y permitir la ejecución del código que inyectamos. Este método puede ser una secuencia de caracteres especialmente formada, el aprovechamiento de alguna falla del sistema de codificación usado por el navegador, etc.
@@ Línea 39: / Línea 36: @@
 Este se ha popularizado con gusanos de XSS que se encargan de replicarse por medio de vulnerabilidades de XSS persistentes (aunque la posibilidad de usar XSS reflejados es posible).
 El siguiente script de ejemplo obtiene el valor de las cabeceras de autenticación de un sistema basado en [[Autenticación Básica]] (Basic Auth). Sólo falta decodificarlo, pero es más fácil mandarlo codificado al registro de contraseñas. La codificación es [[base64]].
 ==Referencias==

@@ Línea 6: / Línea 6: @@
 |concepto= Es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.
 }}
 Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque que permitiera ejecutar código de "[[scripting]]", como [[VBScript]] o JavaScript, en el contexto de otro sitio web (y recientemente esto se podría clasificar más correctamente como "distintos orígenes").
 Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador we]. No se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí. El problema está en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicación.
@@ Línea 17: / Línea 19: @@
 ==Tipos de XSS==
-*Persistente: Este tipo de XSS comúnmente filtrado, y consiste en embeber código HTML peligroso en sitios que lo permitan; incluyendo así etiquetas como <[[script]]> o <[[iframe]]>. Se produce generalmente en sectores donde podemos comentar, de modo que el código que inyectemos quedará almacenado en el servidor y se ejecutará cada vez que abramos la página.
+'''Persistente:'''
 '''No Persistente:'''
@@ Línea 29: / Línea 33: @@
 Esta falla es a mi parecer una de las más fáciles de explotar, solo es cuestión de buscar un hueco en la página donde no se filtren los datos y luego depende de nuestra creatividad los usos que podemos llegar a darle.
 ==AJAX==
 Usar [[AJAX]] para ataques de XSS no es tan conocido, pero peligroso. Se basa en usar cualquier tipo de vulnerabilidad de XSS para introducir un objeto [[XMLHttp]] y usarlo para enviar contenido [[POST]], [[GET]], sin conocimiento del usuario.
 Este se ha popularizado con gusanos de XSS que se encargan de replicarse por medio de vulnerabilidades de XSS persistentes (aunque la posibilidad de usar XSS reflejados es posible).
 El siguiente script de ejemplo obtiene el valor de las cabeceras de autenticación de un sistema basado en [[Autenticación Básica]] (Basic Auth). Sólo falta decodificarlo, pero es más fácil mandarlo codificado al registro de contraseñas. La codificación es [[base64]].
 ==Referencias==
-[http://es.wikipedia.org/wiki/Especial:FuentesDeLibros/1597491543 Seth Fogie, Cross Site Scripting Attacks: Xss Exploits and Defense. 2007 ]
+*[http://es.wikipedia.org/wiki/Especial:FuentesDeLibros/1597491543 Seth Fogie, Cross Site Scripting Attacks: Xss Exploits and Defense. 2007 ]
+*[http://www.cgisecurity.com/articles/xss-faq.shtml  XSS FAQ]
-[http://www.cgisecurity.com/articles/xss-faq.shtml  XSS FAQ]
+*[http://ha.ckers.org/xss.html  XSS Cheat Sheet]
+*[http://www.taringa.net/posts/ciencia-educacion/9722519.R/XSS---Cross-Site-Scripting.html XSS en Taringa]
 [[Category:Seguridad_informática]]

@@ Línea 8: / Línea 8: @@
 ==XSS==
 XSS, del inglés Cross-site scripting  (Cruzar Código al Sitio) es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de [[HTML]] incrustado. A grandes rasgos, el XSS consiste en inyectar código (el mas común: [[Javascript]]) que produzca un cambio en la página y nos permita aprovechar la confianza que tienen los usuarios a dicho sitio. El XSS nos permite defacear una página.
 Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque que permitiera ejecutar código de "[[scripting]]", como [[VBScript]] o JavaScript, en el contexto de otro sitio web (y recientemente esto se podría clasificar más correctamente como "distintos orígenes").
-Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador we]. No se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí. El problema está en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Esta vulnerabilidad puede estar presente de forma directa (también llamada persistente) o indirecta (también llamada reflejada).
+Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador we]. No se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí. El problema está en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicación.
 Se usa la X en lugar de la [[C]] para que no se confunda esta sigla con la de [[CSS]] (Hojas de Estilo en Cascada), que no es una falla sino más bien una tecnología para maquetado de páginas.
-==Tipos de XSS:==
+==Tipos de XSS==
 *Persistente: Este tipo de XSS comúnmente filtrado, y consiste en embeber código HTML peligroso en sitios que lo permitan; incluyendo así etiquetas como <[[script]]> o <[[iframe]]>. Se produce generalmente en sectores donde podemos comentar, de modo que el código que inyectemos quedará almacenado en el servidor y se ejecutará cada vez que abramos la página.
-*No Persistente: Este tipo de XSS consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la [[URL]] del navegador, en una [[cookie]], o cualquier otra cabecera [[HTTP]] (en algunos navegadores y aplicaciones web, esto podría extenderse al [[DOM]] del navegador). También conocido como reflejado, consiste en inyectar código pasándolo mediante la URL, no se almacena en el servidor, solo es explotable el XSS mediante la URL.
+'''No Persistente:'''
 ==Como evitar el XSS==

← Revisión anterior		Revisión del 14:59 25 jun 2012
Línea 1:		Línea 1:
		+	{{Normalizar}}
	{{Definición		{{Definición
	\|nombre= XSS (Cross-site scripting )		\|nombre= XSS (Cross-site scripting )