¿Qué es el scripting entre sitios (XSS) y por qué es una amenaza de seguridad?

¿Qué es el scripting entre sitios (XSS) y por qué es una amenaza de seguridad? / Internet

Las vulnerabilidades de los scripts entre sitios son el mayor problema de seguridad del sitio web en la actualidad. Los estudios han descubierto que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades de XSS en 2011, según el último informe de White Hat Security, publicado en junio de 2012. Aunque la mayoría de las personas han oído hablar de virus informáticos. Una breve historia de los 5 virus informáticos más graves de Todo el tiempo Una breve historia de los 5 peores virus informáticos de todos los tiempos La palabra "virus" y su asociación con las computadoras fue colocada por el científico informático estadounidense Frederick Cohen, quien la usó para describir "un programa que puede" infectar "otros programas modificándolos. para incluir un posible ... Leer más y otros problemas similares, las vulnerabilidades de XSS siguen siendo desconocidas para la persona promedio.

Una vulnerabilidad de secuencias de comandos entre sitios permite a un atacante ejecutar código JavaScript arbitrario (de otro sitio) en una página web. El código se ejecuta en la página web en el navegador del usuario..

Un ejemplo - El gusano StalkDaily de Twitter

Echemos un vistazo a un ataque XSS que ocurrió en el pasado con Twitter. En 2009, el gusano StalkDaily ¿Cuál es la diferencia entre un gusano, un troyano y un virus? [MakeUseOf Explica] ¿Cuál es la diferencia entre un gusano, un troyano y un virus? [MakeUseOf Explica] Algunas personas llaman a cualquier tipo de software malicioso un "virus informático", pero eso no es exacto. Los virus, gusanos y troyanos son diferentes tipos de software malintencionado con diferentes comportamientos. En particular, se propagaron en muy ... Leer más proliferaron en todo Twitter. Cuando un usuario de Twitter visitó la página de perfil de un usuario infectado, su página de perfil también se infectó, extendiendo el gusano. El gusano también envió tweets de cada cuenta infectada..

Entonces, ¿cómo funcionó exactamente el gusano StalkDaily? ¿Alguien hackeó los servidores web de Twitter? No del todo, aunque fue una especie de hack.

Cada usuario de Twitter puede establecer una breve biografía en su página de perfil. Los usuarios ingresan texto en un cuadro de perfil y, una vez que guardan el perfil, el texto aparece en su página de perfil. Alguien se dio cuenta de que Twitter no desinfectó correctamente la entrada de texto del cuadro de biografía (veremos esto más adelante); simplemente colocó el texto que los usuarios ingresaron directamente en el código fuente de la página web. Esto permitió a un usuario ingresar un HTMLL