En el último tiempo se ha observado un incremento en el tipo de vulnerabilidad Cross Site Scripting. Esta clase de falla muchas veces pasa desapercibida por los diseñadores de los sitios web a la hora de codificar sus portales, y por lo tanto no estipulan este tipo de ataque y cuál es su alcance en caso de que se explote exitosamente.

En esta semana se han descubierto varios sitios web de entidades de gran jerarquía con esta clase de vulnerabilidad. En la mayoría de los casos el tipo de vulnerabilidad es de XSS no persistente. Puntualmente, un atacante puede adulterar un enlace web para incorporar código malicioso y mediante técnicas de Ingeniería Social obtener beneficios de la víctima. Un ejemplo claro es la adulteración del enlace para extraer la cookie de sesión del usuario.

Sin embargo existen casos de mayor gravedad, es decir, vulnerabilidades de tipo XSS persistente. Esta es la situación de una de las mayores empresas de Internet cuya plataforma de blogging no filtra correctamente los comentarios que se realizan, lo que permite, por ejemplo, insertar una etiqueta del tipo iframe dentro del código del sitio. De esta manera el código del portal es modificado de manera permanente y no es necesaria la adulteración del enlace ni el uso de Ingeniería Social para explotar la vulnerabilidad de manera exitosa.

Ver más… »

Categories: Vulnerabilidades
No Comments »