Skip to main content

Secuencia de comandos en sitios cruzados (XSS)

Error relacionado

"Este servidor es vulnerable a un ataque de secuencia de comandos en sitios cruzados. Asegúrese de que los datos del lado del cliente (JavaScript) sean seguros y estén validados".

Problema

La secuencia de comandos en sitios cruzados es un ataque a las aplicaciones web vulnerables que utilizan JavaScript. El contenido malicioso se entrega a los usuarios habilitados para JavaScript a través de una fuente insegura o no confiable al componer los datos a un receptor peligroso dentro del Modelo de objetos del documento (DOM) en lugar de en HTML que presenta un XSS regular.

Los ataques XSS se producen cuando los datos de entrada a una aplicación web no están validados y los datos de salida al navegador no están codificados en HTML.

Cuando los ataques XSS tienen éxito, los atacantes pueden:

  • Interceptar una cuenta.

  • Propagar gusanos web.

  • Acceder al historial del navegador y al contenido del portapapeles.

  • Controlar el navegador de forma remota.

  • Explorar y explotar dispositivos y aplicaciones de la intranet.

Solución

Identificar y prevenir los errores XSS en las aplicaciones web:

  1. Validar los datos introducidos por los navegadores de los usuarios en la aplicación web.

  2. Codificar toda la salida a los navegadores de los usuarios desde la aplicación web.

  3. Dar a los usuarios la posibilidad de desactivar los scripts del lado del cliente.