Cómo proteger tu web contra ataques XSS
El ataque XSS es una de las vulnerabilidades más comunes en aplicaciones web, afectando tanto a propietarios de sitios como a sus usuarios. Descubre cómo funciona, qué fallos de seguridad lo facilitan y qué medidas puedes tomar para prevenirlo y eliminarlo.
Programación
Cross Site Scripting es lo que se conoce como ataque XSS, y es una vulnerabilidad muy frecuente en los sistemas digitales y aplicaciones web. Conocer de qué se trata es la mejor forma de prevenirlo, y por ello estamos aquí.
Este tipo de arremetida puede llegar a ser bastante perjudicial tanto para dueños de sitios web, como también para los usuarios que ingresan día a día.
Por ende, es importante conocer a fondo cuáles son las fallas de seguridad que pueden dar lugar a este problema. Y, de esa forma, saber cuáles son las medidas que se deben aplicar para evitarlo y eliminarlo una vez comenzado.
¿Qué es un ataque XSS?
Se puede definir como un script malicioso que es inyectado en un sitio web que aparenta ser “seguro”, en el que se procesa a través de una URL y luego es ejecutada por los usuarios.
La razón por la cual este script se ejecuta más que nada en sitios web de mucho tráfico, es precisamente por la gran cantidad de datos sensibles que maneja la web.
El procedimiento de hackeo dependerá del tipo de ataque XSS que se presente. Pero en palabras simples, se trata de una inyección de código malicioso a través de un recuadro de texto usando lenguaje JavaScript en principio.
Lo que hace, es que el script ejecuta un código en el que el hacker tiene acceso al historial de solicitudes de una página web donde se rellena información sensible. Nombres de usuario, contraseñas, que luego el atacante usa para robar información.
Como podrás imaginar, esto puede ser muy grave tanto para los dueños del sitio web como también para el usuario. Ya que la información del usuario puede ser robada y usada para fines delincuenciales.
Esto implica a su vez, que los dueños de un sitio web o la empresa en cuestión, puedan recibir también demandas por sus fallas en seguridad.
Tipos de ataque XSS
No conforme con ser un tipo de hackeo bastante peligroso por lo que implica y los daños que puede causar, existen 3 variantes del procedimiento.
Es por ello que conocerlos es parte fundamental para poder evitarlos, porque el primer paso es entender cómo funcionan y cómo identificarlos.
XSS Reflejado
Para crear un procedimiento malicioso de XSS reflejado, el hacker solo deberá inyectar un parámetro de código infectado en el navegador del usuario. Este parámetro puede ser colocado en cualquier parte del sitio web donde se pueda colocar texto.
Es decir, puede aplicarse en la caja de comentarios, en algún formulario de relleno de información, etc. Lo que sucede, es que una vez ejecutado el parámetro en la caja de texto, el sitio web quedará infectado con el script.
Ahora, cuando un usuario común navegando por el sitio web utilice esta caja de texto y rellene con información que el atacante colocó en el script, se ejecutará una ventana emergente en el navegador del usuario.
Eso quiere decir que la inyección del script malicioso fue un éxito y por ende, el usuario ha quedado expuesto al hacker. Pudiendo robar información sensible y que comprometa su seguridad digital no sólo de usuario en el sitio web, sino también, de otras aplicaciones.
Lo peligroso de este tipo de ataque, es que a simple vista no parece haber nada extraño.
XSS Almacenado
En este caso, el código malicioso no se inyecta solo para activarse a través de una búsqueda concreta en un momento dado, sino que acá, el código quedará por siempre en el servidor.
Es decir, se almacena en el servidor web de forma permanente y puede infectar a todos los usuarios que entren en dicha página, ejecutando el script HTTP.
Este tipo de código malicioso es más común encontrarlo en servidores que manejan una gran base de datos. En el momento en el que se carga una página web en concreto de esa base de datos, se ejecuta el código y el hacker tiene acceso a la información.
Aunque si bien es cierto que este tipo de código es usado en empresas grandes que manejan gran cantidad de datos de usuario, también se puede encontrar en un foro masivo de una web reconocida. Ejecutándose tan solo cuando el usuario ingrese un comentario.
XSS Basados en DOM
Este tipo de ataque se refleja más que nada en páginas construidas a través de un lenguaje HTML. DOM significa Document Object Model, o lo que también se conoce como estructura del documento HTML, razón la cual afecta a la ramificación de etiquetas de ese lenguaje.
Este código malicioso afecta directamente al servidor del cliente, a la estructura de la página. Aunque el XSS se origina a través de lenguaje JavaScript, se puede modificar los elementos que forman parte del HTML para infectarlo y ejecutar el código.
Se pueden eliminar o cambiar etiquetas, agregar otras nuevas, también se pueden cambiar los atributos HTML e incluso cambiar el contenido de los textos.
¿Cuáles son los riesgos de sufrir un ataque de XSS?
La explotación XSS se puede considerar como un ataque de alto nivel de peligrosidad y sensibilidad. Y esto se debe a que si el hacker identifica una falla en la sanitización de la web e introduce un script malicioso, la web puede interpretar que el mismo es confiable.
Y lo más delicado es que este tipo de arremetidas son silenciosas, ya que no hay indicios de algo extraño. Y esto por supuesto representa un riesgo muy alto sobre todo en páginas web con comunidades extensas.
En sí, el script le permite al hacker acceder a las cookies de una página web, pudiendo ingresar a las sesiones de los usuarios, usurpar los datos de inicio de sesión, robar credenciales e inclusive autorizar pagos no deseados.
Otro de los riesgos que implica este tipo de script, es que pueden cambiar la apariencia del sitio web, realizar acciones no deseadas de forma automática, envíos de información a otros servidores sin que los usuarios lo noten.
Y por esta razón, es fundamental contar con la protección necesaria para que los filtros de seguridad puedan identificar estos scripts.
Ejemplo de ataque XSS
Vamos a crear un caso hipotético de este tipo de hackeo para comprender el daño que esto puede generar en los usuarios:
Imagina que tienes una web de reseñas y valoración de videojuegos, por lo tanto, esta web contiene cuadros de introducción de textos. Al mismo tiempo, la web no ha sido sanitizada para identificar script maliciosos.
Ahora, el atacante introduce un script con código para robar información cada vez que un usuario vaya y deje una reseña en el sitio. El código tendría más o menos el siguiente aspecto:
<script> // escribir comentario </script>
Cada usuario que haga dicha acción, habrá activado entonces el script malicioso, provocando así que el hacker tenga acceso a sus cookies de navegación. Por lo tanto, se encuentra expuesto a que se roben su información de usuario y datos sensibles.
Otro posible riesgo es que el atacante podría redirigir al usuario a otro sitio web malicioso, pero sin que este realmente note que es así. De hecho, allí se podría completar el robo de información de datos mucho más sensibles, como datos bancarios, tarjetas, etc.
Cómo prevenir e identificar vulnerabilidades XSS
A simple vista puede ser un problema poder identificar este tipo de ataque, sobre todo si no existe conocimiento previo del script malicioso.
Sin embargo, existen diversas herramientas que pueden ser útiles para identificar estos males. Así que te presentamos algunos de ellas:
OWASP ZAP
Esta herramienta se trata de un escáner de seguridad web y que funciona a través de código abierto. De hecho, fue creado gracias a la comunidad de Github quienes permitieron su desarrollo y soporte actual, lo cual lo hace bastante seguro y eficaz.
Será muy útil para escanear una web de forma profunda, lo cual ayudará a identificar cualquier tipo de vulnerabilidad con respecto a ataques XSS, o incluso, si este ataque ya está perpetrado. Lo cual será fundamental para eliminarlo.
SOOS DAST
Una potente herramienta de identificación de vulnerabilidades web, que utiliza a su vez otras herramientas que han sido galardonadas por su eficacia en la protección de datos.
La herramienta cuenta a su vez con su panel web de gestión y administración que brinda toda la información importante. Vulnerabilidades presentes, violaciones en la seguridad que ha tenido la web, tipos de dependencia, y desglosa los tipos de escaneos que realiza.
Burp Suite
El presente instrumento de seguridad es bien conocido por la comunidad tecnológica, no sólo por todo lo que ofrece, sino también porque ofrece soluciones gratuitas.
¡Así es! Cuenta con un escaneo de seguridad de aplicaciones web de forma gratuita, y que puede ser muy útil para identificar vulnerabilidades antes de lanzar la web.
Pero no se queda allí, ya que también cuenta con ediciones especiales para empresa que otorgan protección a gran escala, un kit de herramientas profesionales de penetración web, y otros mecanismos de seguridad manuales.
Es una alternativa bastante completa y que además cuenta con su propio soporte para clientes.
Acunetix
El lema de este aparato de seguridad es:
«Menos tiempo en aplicaciones web y seguridad de API, más tiempo en innovación.»
Funciona haciendo test de seguridad continuos sin necesidad de que el servicio web detenga el flujo de trabajo. Descubre las vulnerabilidades presentes, las parchea y mantiene actualizado el cortafuego para evitar futuros ataques.
Por lo tanto, el cliente no tendrá que molestarse en estar revisando las fallas de seguridad, ya que la herramienta en sí hace todo el trabajo.
Certificado SSL
A todo lo anterior expuesto, es fundamental sumarle que toda página web en algún momento debe contar con su propio certificado SSL. ¿Qué es? Pues, es lo que asegura que una página web está libre de vulnerabilidades para ataques XSS.
Este certificado lo que hace es determinar la identidad de las entradas de código de un sitio web, además de que habilita una conexión web cifrada que impide que un hacker introduzca código malicioso.
El protocolo que utiliza se conoce como Secure Sockets Layer/Transport Layer Security (SSL/TLS). Funcionan como tarjetas de identificación para asegurar las comunicaciones y solicitudes de una red protegiendo los recursos privados.
¿Cómo saber si una página cuenta con certificado SSL?
Es muy posible que en algún momento navegando por internet te hayas topado con páginas web que cuenta con este certificado pero no identifiques las diferencias. Visualiza lo siguiente:
En la barra del URL, está presente un candado y una dirección web en color verde.
Se utiliza el prefijo «htpps» en la dirección URL del sitio web.
Para comprobar un certificado SSL/TLS válido, basta con dar clic en el candado para expandir su información.
Cuando la conexión a la web es cifrada, solo el dueño del sitio web y el servidor pueden visualizar los datos que envían todos los usuarios.
Conociendo esta información, es posible que ahora sí recuerdes sitios web que cumplan con estas características pero que desconocía de qué se trataba.
Pues bien, esta es la norma que todo sitio web debería de cumplir para la seguridad tanto del cliente como de usuarios. Es clave recordar que la seguridad es un principio que todo usuario de internet reconoce y necesita para tener confianza en una página o servicio.
Conviértete en un experto en Ciberseguridad
Si te ha gustado la información y te ha parecido útil, no olvides visitar nuestro sitio web donde encontrarás más información al respecto sobre ciberseguridad.
Si quieres formarte y convertirte en un experto en el tema, te brindaremos nuestros planes de educación para que puedas desarrollar tu estabilidad laboral.
