Las vulnerabilidades de tipo Cross-Site Scripting o también denominadas XSS, tienen como objetivo principal la inyección de código en un sitio web, para ejecutarlo desde el explorador del usuario. Entonces el XSS sería un ataque directamente hacia el cliente utilizando la página web que visualiza.
En el caso de que el usuario visualice el contenido malicioso, se ejecutaran en su explorador secuencias de comandos maliciosas, como código JavaScript en su explorador que intentarán infectar su equipo. La mayoría de ataques de tipo Cross-Site Scripting es bastante ilimitada, pero mediante este tipo de ataques pueden realizar la obtención de datos personales, crear una redirección a un sitio web malicioso controlado por cibercriminales o el robo de sesiones del sitio web.
Evitar ser atacado por un Cross-Site Scripting como usuario
Lo principal para evitar ser vulnerable a este tipo de ataques, es contar con soluciones de seguridad instaladas y correctamente actualizadas. Esta parte es muy importante debido a que si se ejecuta algún malware o código malicioso en tu equipo al acceder a un sitio web vulnerable, estas soluciones que contengan las últimas firmas sean capaces de bloquearlas.
Mitigar los Cross-Site Scripting en nuestra web
La detección y prevención es primordial para mitigar este tipo de ciberataques. A continuación te explicamos que hacer para detectar este tipo de ataques.
- Debemos tener actualizados los plugins de nuestro CMS y de forma continua realizar pruebas de Hacking Ético y Test de Intrusión, en embargo, queremos dar las siguientes pautas para mitigar este tipo de ataques:
- OWASP (Open Web Application Security Project) proporciona una librería denominada ESAPI, está creada para numerosos lenguajes de programación. Esta permite funcionalidades muy variadas, como por ejemplo validar los caracteres de entrada recibidos por el usuario o codificar de forma adecuada los caracteres especiales.
- Función htmlspecialchars(): creada para filtrar la salida de contenido mostrado en el navegador del usuario. Si utilizamos alguna codificación diferente a ISO-8859-1 o UTF-8, tenemos disponible la función htmlentities().
- Función strip_tags(): esta función también elimina código HTML y no permitirá dar formato de ningún tipo a los datos que el usuario ingrese. De igual modo, si necesitamos dar la posibilidad a los usuarios de utilizar alguna etiqueta, esta función tiene un argumento con el cual podemos especificar etiquetas en una lista blanca.
- BBCode: Última opción que proponemos, bastante popular también, seria permitir una especie de pseudocodigo que posteriormente será reemplazado por etiquetas HTML controladas.
Como puede afectar el Cross-Site Scripting a nuestro SEO
Los ataques de tipo Cross-Site Scripting pueden afectar negativamente a tu posicionamiento SEO. Un sitio web que haya sido hackeado y donde se hayan incluido backlinks donde apunten a un dominio para crear notoriedad. Los ataques de Cross-Site Scripting son conocidos por los cibercriminales por insertar enlaces donde el webmaster del sitio web infectado no conoce. Google y otros motores de búsqueda penalizan estos enlaces. Para esto, hay que prevenir de forma eficaz que mediante este tipo de ataques inserten links maliciosos en nuestra web y sean indexados, tomando las recomendaciones en el apartado anterior.
FLOYDU S.A.S, empresa establecida en Ecuador, cuenta con expertos calificados y certificados en Ethical Hacking, Pentesting, Diseño de Sistemas de Gestión de Seguridad de la Información ISO 27000 y remediación de vulnerabilidades.
