Definición: ¿Qué significa Cross Site Scripting (XSS)?
Cross Site Scripting (XSS) es el proceso de adición de código malicioso a un sitio web genuino para recopilar información del usuario con una intención maliciosa. Los ataques XSS son posibles a través de vulnerabilidades de seguridad que se encuentran en las aplicaciones web y comúnmente se explotan mediante la inyección de un script en el lado del cliente. Aunque normalmente se emplea JavaScript, algunos atacantes también utilizan VBScript, ActiveX o Flash.
Techinfo explica Cross Site Scripting (XSS)
Cuando una vulnerabilidad XSS se explota con éxito, la aplicación del servidor puede estar seriamente expuesta a riesgos importantes. Por ejemplo, se puede engañar a los usuarios para que ejecuten scripts maliciosos cuando visualizan páginas generadas dinámicamente. Otra posibilidad implica que un atacante se haga cargo de la sesión de un usuario antes de que expire la cookie de sesión correspondiente. En otro caso más, los usuarios inocentes pueden conectarse a un servidor malicioso.
En prácticamente todos los escenarios, el sistema de la víctima es atacado utilizando los privilegios de la víctima. Los ataques pueden evolucionar hacia el secuestro de cuentas, el robo de cookies, la publicidad engañosa y las modificaciones en la configuración del usuario de la cuenta de la víctima.
Una forma de mitigar los riesgos de las vulnerabilidades XSS es desactivando las secuencias de comandos activas en los navegadores. Desafortunadamente, esto también elimina la capacidad de un navegador para ejecutar sitios web dinámicos y no es una solución realista para la mayoría de los usuarios.