Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Copy of Cross site scripting

No description
by

Alex Mendoza

on 28 August 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Copy of Cross site scripting

Es un ataque de inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web, aplicaciones locales e incluso al propio navegador.

Es una vulnerabilidad que permite inyectar un código html o javascript en algún formulario ya sea por GET o por POST (por GET es más peligroso).
Como enviarlo
Generalmente, si el código malicioso se encuentra en forma de hipervínculo es codificado en HEX (basado en el sistema de numeración hexadecimal, base 16) o algún otro, así cuando el usuario lo vea, no le parecerá sospechoso. De esta manera, los datos ingresados por el usuario son enviados a otro sitio, cuya pantalla es muy similar al sitio web original.

De esta manera, es posible secuestrar una sesión, robar cookies y cambiar la configuración de una cuenta de usuario.
Cuando Sucede
Sucede cuando un usuario mal intencionado envía código malicioso a la aplicación web y se coloca en forma de un hipervínculo para conducir al usuario a otro sitio web, mensajería instantánea o un correo electrónico. Así mismo, puede provocar una negación de servicio (DDos).
XSS
XSS Attack
Las diversas variantes de esta vulnerabilidad pueden dividirse en dos grandes grupos: el primero se conoce como XSS persistente o directo y el segundo como XSS reflejado o indirecto.
Indirecto o reflejado
Funciona modificando valores que la aplicación web pasa de una página a otra, sin emplear sesiones. Sucede cuando se envía un mensaje o ruta en una URL, una cookie o en la cabecera HTTP (pudiendo extenderse al DOM del navegador).
Directo o persistente
Consiste en invadir código HTML mediante la inclusión de etiquetas <script> y <frame> en sitios que lo permiten.
Protección
Todos los parámetros de la aplicación deberían estar validados o codificados antes de darle salida en un pagina html.

Siempre valida en el lado del servidor para mantener la integridad y seguridad de la información.

Valida toda la información ingresada en la aplicación para tipo, formato, rango y contexto antes de almacenarla o mostrarla.
Uso
Desfigurar paginas web
Hijack de sesiones de usuarios
Conducir ataques phishing
Ejecutar codigo malisioso en el contexto de la sesión de un usuario
Introducir malware
Definición
Tipos de Ataques
Uso y Protección
Cross Site Scripting
XSS

%70%61%6C%61%62%72%61%3D%3C%73%63%72%69%70%74%3E.%70%61%6C%61%62%72%61%3D%3C%73%63%72%69%70%74%3E...
Efecto XSS
Robo de información privada
Robo de cookies del usuario
Realizar acciones en nombre de otro usuario
Redireccionar a otros sitios web
Mostrar ventanas

Conclusiones
Las vulnerabilidades como XSS es de las mas comunes que se presentan en los sitios web.

La explotación de esta vulnerabilidad va a depender de la habilidad de generar script por parte del atacante.

Esta vulnerabilidad es explotada para obtener información del usuario.

Cómo identificamos un XSS
Full transcript