.gif)
.gif)
https://codelaboratorio.blogspot.com.co/2015/07/xss-cross-site-scripting.html
DEFINICIÓN
Generalmente utilizada mediante correos engañosos en los que los atacantes utilizan un buscador insertando un mensaje de alerta en JavaScript o mensaje en HTML, que hace que la víctima ejecute un comando dentro de su dirección web para luego robar las cookies y por consiguiente la identidad..
CÓMO IDENTIFICAR ESTA VULNERABILIDAD
- No se verifica de forma adecuada en el momento de ingreso, la entrada de datos por los usuarios.
- Las aplicaciones ofrecen páginas de salida utilizando intérpretes como JavaScript, ActiveX, Flash o Silverlight, dificultando la detección automática de las vulnerabilidades de XSS, sin embargo se podrían obviar aplicando técnicas de revisión de código y pruebas de penetración en forma manual.
PREVENCIÓN
- Separar los datos no confiables basados en HTML del contenido activo del navegador, para ello OWASP ofrece algunos de trucos o “cheat Sheets” para aplicar las técnicas en las rutinas de programación de una aplicación WEB. En la siguiente página encontraremos las técnicas de prevención: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet.
- Igualmente, se deben validar las entradas positivas o de lista blanca, o sea validar el largo, los caracteres, el formato y las reglas antes de aceptarlo como entrada.
- Recomienda utilizar bibliotecas de sanitización como AntiSamy para contenido en formato Enriquecido https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project_.Java
- O el proyecto de sanitización de HTML en Java https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project
_____________________________
Tomado del proyecto original de "GUÍA DE BUENAS PRÁCTICAS PARA EL DESARROLLO DE APLICACIONES WEB SEGURAS, ORIENTADAS A LA FORMACIÓN DE PROGRAMADORES" Liliana Cújar Bahamón. Autora de este sitio web.
