Cubrimos un ejemplo práctico que demuestra la vulnerabilidad de secuencias de comandos entre sitios codificados utilizando codificación de caracteres y Brup Suite para resolver el Desafío 004 en el laboratorio gratuito OWASP Hackademic.
Las secuencias de comandos entre sitios (XSS) son una vulnerabilidad de aplicaciones web que permite a los atacantes inyectar secuencias de comandos en páginas web. Hay dos tipos de ataques XSS. La principal protección contra los ataques XSS se encuentra en la aplicación web con sofisticadas técnicas de validación de entradas. OWASP recomienda encarecidamente el uso de una biblioteca de codificación de seguridad. Cuando se implemente, una biblioteca de codificación desinfectará el código HTML y evitará ataques XSS.
XSS reflejado comienza cuando un atacante crea un correo electrónico malicioso y luego anima al usuario a hacer clic en él. La URL maliciosa a menudo se coloca dentro de un correo electrónico de phishing, pero también se puede colocar en un sitio web público, como un enlace dentro de un comentario. Cuando el usuario hace clic en la URL maliciosa, envía una solicitud HTTP a un servidor con la cookie del usuario que el atacante puede usar para secuestrar la cuenta de usuario/administrador a través de lo que se llama secuestro de sesión.
Obtenga notas del certificado OSCP
El curso completo y práctico de pruebas de penetración de aplicaciones web
Tutorial en vídeo
