Hoy tengo ganas de escribir sobre la seguridad web, especialmente sobre la vulnerabilidad del XSS, la cual es una de las más fáciles de detectar y también, si se utiliza con mala gana, de las más peligrosas para una página web.
El Cross Site Scripting (XSS para abreviar) es una vulnerabilidad web que ha estado en el TOP 3 de las vulnerabilidades de OWASP (una fundación mundial, dedicada a la seguridad web).
Esta solo afecta a las páginas que tengan código JavaScript en ellas, ya que es el que utiliza para explotar la vulnerabilidad en si.
Si un cracker consigue explotarla, prácticamente podrá hacer con la web lo que él quiera, como si el cracker fuese el dueño de esta.
IMPORTANTE utiliza estos conocimientos bajo tu responsabilidad, yo explico este y demás temas sobre la seguridad para que la gente tenga más conciencia sobre ella y no sea tan irresponsable en Internet.
La manera más simple de averiguar si tu web es vulnerable contra este tipo de ataque es escribir el siguiente código en un buscador o bien un comentario:
<script>alert('Hola, estoy explotando tu web con XSS')</script>El resultado sería el siguiente:
El comando anterior obliga a la web a mostrar una ventana emergente con un mensaje concreto elegido por el cracker.
Si lo deseáis, podéis probarlo en el siguiente enlace (tranquilos, es una web especializada para hacer estas pruebas).
Muchos pensaréis, bueno, solo es una ventana emergente con un mensaje. ¿Que peligro tiene? Pues el peligro consiste en que no es el propietario quien decide que la ventana emergente aparezca, eso indica que cualquiera con unos conocimientos mínimos, podrá tener control sobre tu página web.
Una «evolución» de este error, es cuando se ejecuta un comando similar en los comentarios de la web. Este al quedarse guardado en la base de datos de la página, se ejecuta cada vez que alguien entra al enlace en el que se encuentra el código. Por ello afecta a más de un usuario y se podrá utilizar para engañar a los auténticos usuarios de su web.
Por esta y por las demás vulnerabilidades que hay en el mundo de Internet, hay que tener en cuenta la seguridad al máximo.
