Vía Reddit, conozco esta interesantísima XSS (Cross Site Scripting) Prevention Cheat Sheet.
La Wikipedia define el XSS como una vulnerabilidad que permite la inyección de código en las páginas web.
Gracias a esto, los atacantes podrían:
- Robar nuestras cookies, con lo que luego podrían hacerse pasar por nosotros en algunos servicios online o sociales.
- Utilizando XSS podrían modificar una página del libro de apuntes (por ejemplo) y simular el proceso de un carrito de compra. De esa forma pueden obtener los datos de crédito de los usuarios y un usuario no vería ningún problema, ya que seguirían bajo el dominio www.librodeapuntes.es.
- Pueden añadir un enlace o elemento html en cualquier parte de la página mediante la edición del árbol DOM. Ello significa, por ejemplo añadir la categoría «sexo», o «viagra» en nuestro menú principal, enlazando a donde ellos quisieran.
No soy un experto en seguridad web y estoy seguro de que hay formas mucho más interesantes de aprovechar estas vulnerabilidades, pero si es interesante destacar que deberíamos utilizar siempre la programación defensiva y revisar todas las páginas o plantillas de nuestro sitio para comprobar este tipo de errores, que muchas veces pueden pasar desapercibidos.
En google hay muchísima información, pero aquí dejo un enlace sobre «Cómo revisar las vulnerabilidades de XSS«
Hellen CLARK
Great blog, keep up the work. I have just started my own blog and I love checking out others to see what can be done.