Hacks cross-site scripting en aplicaciones web

Video: Hacking - Intro to Cross Site Scripting (XSS)

cross-site scripting (XSS) es quizás la vulnerabilidad web más bien conocido que puede conseguir su sitio hackeado. XSS se produce cuando una página web muestra la entrada del usuario - por lo general a través de javascript- que no se valida correctamente. Un hacker criminal puede tomar ventaja de la ausencia de filtrado de entrada y causar una página Web para ejecutar código malicioso en el ordenador de cualquier usuario que visita la página.

Video: Web Hacking And Webserver Hacking | cross site scripting attack

Por ejemplo, un ataque XSS puede mostrar el ID de usuario y la página de contraseña de acceso desde otra página web sin escrúpulos. Si los usuarios sin saberlo entran en sus identificadores de usuario y contraseñas en la página de inicio de sesión, los ID de usuario y contraseñas se introducen en el archivo de registro del servidor web del usuario remoto.

Otro código malicioso puede ser enviado a la computadora de la víctima y correr con los mismos privilegios de seguridad como el navegador web o aplicación de correo electrónico que está viendo en el sistema- el código malicioso podría proporcionar un hacker con pleno acceso de lectura / escritura a las cookies del navegador, archivos del historial del navegador, o incluso permiten la descarga / instalación de software malicioso.

Una prueba simple muestra si su aplicación web es vulnerable a XSS. Busque cualquier campo de la aplicación que acepten la entrada del usuario (por ejemplo, en un módulo de entrada o búsqueda), y entrar en la siguiente declaración de javascript:

Si aparece una ventana emergente que dice XSS, la aplicación es vulnerable.
Video: Cracking Websites with Cross Site Scripting - Computerphile
Hay muchas más iteraciones para la explotación de XSS, tales como las que requieren la interacción del usuario a través de la javascript el ratón por encima función. Al igual que con la inyección de SQL, que realmente necesita para utilizar un escáner automatizado para comprobar si hay XSS. Tanto WebInspect y Acunetix Web Vulnerability Scanner hacen un gran trabajo de encontrar XSS. A menudo tienden a encontrar diferentes temas XSS, un detalle que pone de relieve la importancia de utilizar varios escáneres cuando pueda.
Video: What is Cross-site Scripting (XSS)
Otro escáner de vulnerabilidades web que es muy bueno en el descubrimiento de XSS que muchos otros escáneres no van a encontrar es de NTOSpider NT Objetivos. NTOSpider funciona mejor que otros escáneres en la realización de exploraciones autenticados contra las aplicaciones que utilizan sistemas de autenticación de factores múltiples. NTOSpider definitivamente debe estar en su radar como un potencial escáner primaria o secundaria. Recuerde: Cuando se trata de vulnerabilidades web, los escáneres más, mejor!
 
 
Artículos Relacionados 
Las amenazas a los programas de software que usted debe saber para un trabajo en seguridad de la información
Las vulnerabilidades de seguridad en los sistemas basados ​​en la web
Ataques de piratas informáticos basados ​​en software
La ejecución de las diferentes pruebas de seguridad en su propio entorno
Herramientas que no puede vivir sin la piratería
Cómo priorizar las vulnerabilidades de seguridad de su sistema
Cómo utilizar editores hexadecimales para identificar las vulnerabilidades de piratería
Los problemas de seguridad causados ​​por la información sensible que se almacenan localmente
La manipulación url hacks en aplicaciones web
Herramientas de pruebas de seguridad de aplicaciones web para identificar vulnerabilidades
Aplicaciones php seguras con suexec
Hacks inyección de código y de inyección sql en aplicaciones web
Hacks que se aprovechan de los parches se perdieron
Ejecutar exploraciones autenticados para evitar cortes en los sistemas windows
Sin garantía de acceso hacks en aplicaciones web y cómo prevenirlos
Cómo crear un alias para la automatización de marketing
Cómo alertar a los visitantes que su sitio requiere javascript
Drupal configuración del sitio: las acciones de activación
Drupal sitio registros públicos
Cómo pedir al usuario para la entrada en javascript