miércoles, 16 de julio de 2014

Cross Site Scripting y sus excepciones en las webs con CrossDomain.xml

Leyendo noticias y artículos en Blogs sobre esto, he decidido escribir yo-a mi manera- sobre este problema que está afectando a muchas webs. como es el XSS (Cross Site Scripting), aunque de esto ya hablase un poco en el posts que dediqué a los Defacers y a su web para poner la "cabezas ganadas. Pero pasé por encima sobre el XSS, y también por eso de explicarlo un poco mejor para que llegue a la conciencia de la gente y tome precauciones.

Lo primero de todo sería explicar un poco qué es el XSS, pues bien lo explico; el XSS es un tipo de vulnerabilidad informáticas en muchas aplicaciones Webs, que permite inyectar código inseguro en las diferentes páginas por cualquier usuario, normalmente el script que se usa para inyectar es el JavaScript, consiguiendo evitar medidas de control, llegando muchas veces a cambiar la portada de una aplicación web.

Figura 1: Unos de los Defacers sonados en el UPD
Casos de Defacement hay muchos, y solo hay que buscar para encontrarse Defacemente a tuti plen, pero el caso es que los navegadores de Internet, implementan Políticas de Seguridad como es el Same-Origin Policy. Esta Política en lo que consiste básicamente consiste en que hace que el código que se carga en una pestaña, pueda acceder a datos, pero sólo de páginas que vienen del mismo dominio, abreviando, que el código inseguro -JavaScript- nunca podría acceder a la cookie.

También hay casos como el de Adobe que es el plugin el que debe forzar esa política Same-Origin Policy y lo hace con lo que venía a hablar hoy que es el CrossDomain.xml, que lo hace con la configuración del un fichero de cada sitio, pero normalmente el acceso a datos está prohibido, pero siempre hay excepciones.

Figura 1: CrossDomain.xml en Paypal

Figura 2: CrossDomain.xml en Ebay

Estos son dos casos que hoy he traído, pero hay muchos más y que tenéis al alcanza de buscar por vosotros mismos. Por ejemplo en el último caso que es en el de eBay, podemos ver que hay muchas excepciones, así que si algún día se encuentran estas webs u otras muchas con este problema de Cross Site Scripting, con un Defacement en su web, que no se extrañen porque no están siguiendo una buena política.

Saludos Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...