A la hora de navegar en internet lo más importante es hacerlo de una manera segura y confiable. Podemos tener problemas al entrar en un sitio web, recibir un link sospechoso, descargar algún archivo o simplemente usar cualquier extensión en el navegador. Hay muchas variedades de amenazas y debemos tomar medidas para estar protegidos. En este artículo vamos a abordar todo sobre ataques XSS y cómo evitarlos.
El Cross Site Scripting o XSS, que en español signfica: Secuencia de comandos en sitios cruzados, es un tipo de ciberataque por el cual se buscan vulnerabilidades en una aplicación web para introducir un script dañino y atacar su propio sistema, partiendo de un contexto fiable para el usuario. Los scripts son archivos de comandos o programas escritos en lenguajes de programación −como JavaScript− que se ejecutan en el navegador web. En su versión más inocua se ejecutan ventanas emergentes y, en el peor de los casos, son utilizados por atacantes para acceder a información sensible o al equipo del usuario.
Siempre que una aplicación web transfiera datos de usuario no validados al navegador, habrá riesgo de un ataque por Cross Site Scripting o XSS, ya que este es el camino por el que los archivos dañinos van a parar al cliente o navegador. Una vez aquí, las aplicaciones infectadas manipulan scripts propios de la página tales como formularios de registro y, mientras que para el usuario todo indica que se trata de una página protegida, en realidad los datos están siendo transferidos a otro sitio sin ningún tipo de filtro.
Pero no todos los ataques de XSS tienen como objetivo robar información privada o dañar al cliente afectado. Hay scripts muy extendidos que manipulan al cliente para convertirlo en iniciador de tácticas de phishing y de ataques de malware, o que cambian el contenido de una página afectándolo negativamente. Los causantes del ataque permanecen la mayor parte de las veces en el anonimato.
¿Cómo es el proceso?
Medidas de prevención para internautas
Lo más sencillo para evitar el Cross Site Scripting es desactivar JavaScript en el navegador. Si se hace eso el XSS basado en DOM, cuyo objetivo son los códigos de Java del explorador, no tiene ningún efecto, ya que no se ejecutará ninguna función maliciosa. Hay navegadores donde es posible activar Add-ons que protegen de ataques de XSS. Para Mozilla Firefox, por ejemplo, existe la extensión NoScript: su configuración estándar fija el bloqueo automático de contenidos activos tales como JavaScript, Java Applets, Adobe Flash o Microsoft Silverlight.
Si se desea, se puede levantar el bloqueo temporalmente o configurar una lista blanca de páginas si estamos absolutamente seguros de que son de confianza. Y un último consejo que deberías tener siempre en cuenta en relación con los riesgos del Cross Site Scripting es que te mantengas siempre escéptico ante datos ajenos como los enlaces, que deberías siempre examinar detenidamente antes de abrir.
Aquí te dejamos un pequeño tutorial de cómo desactivar Java Script en el navegador de Chrome.
Acciones contra ataques de XSS para administradores web
Con el objetivo de evitar que las aplicaciones de tu web se conviertan en objeto de ataques de XSS, deberías desconfiar de cualquier dato entrante, es decir, antes de que el servidor los acepte deberían ser adecuadamente examinados. El método más seguro sería, como en el Add-On NoScript para el navegador, la creación de una whitelist o lista blanca. Mientras la capacidad de tu página permita el examen de las entradas y solo la aceptación de contenidos fiables, estarás garantizando una excelente protección contra Cross Site Scripting.
Pero también la salida de datos debería estar protegida. En este caso es necesario sustituir los problemáticos caracteres meta HTML por referencias textuales, de forma que los caracteres meta se lean como texto y los archivos potencialmente infectados no se puedan ejecutar. Para ello, la mayoría de lenguajes de programación como Perl, JavaScript o PHP contienen funciones predefinidas para la sustitución o enmascaramiento de caracteres que puedes usar sin problemas. Los Web-Application-Firewalls suponen también una efectiva defensa frente a ataques sencillos de XSS.
Para finalizar...
El Cross Site Scripting supone en muchos casos el prólogo a ataques de más gravedad, y estos se pueden evitar ya en sus inicios mediante una amplia protección del flujo entrante y saliente de datos en tu servidor web. Como puede ver, el XSS puede ser utilizado de muchas maneras que pueden ser usadas por los atacantes para dañar a sus usuarios con el fin de obtener enlaces de vuelta a su sitio. Esperemos que después de leer esto, prestes atención a los detalles y no te dejes engañar y robar por personas inescrupulosas.
Gracias al ingeniero en sistemas de nuestra familia de Interscope media por traer este tema de interés a nuestro blog, nuestro deber es mantenerte al tanto y evitar que seas víctima de estafa. Si tienes dudas acerca de la seguridad de tu sitio, no dudes en contactarnos y te ayudaremos con mucho gusto.
