martes, 5 de enero de 2010

XSS

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) se pronuncio sobre el supuesto ataque que sufrio la pagina del Gobierno Español en donde la foto del lindo Presidente de Gobierno José Luis Rodríguez Zapatero fue cambiada por la del muy conocido comico que interpreta Mister Bean´s, los cuales afirman que no se ataco la web como tal sino que se aprovecharon de una vulnerabilidad del código fuente denominada XSS la cual es dirigida principalmente a los usuarios de la web desde un servidor remoto.


  
Por ahi lei Año nuevo Presidente Europeo nuevo jeje 

Bueno pues, basicamente indagando sobre el asunto abarca cualquier ataque que permite ejecutar cierto código en el contexto de otro sitio web, de dos maneras: Directa  invadiendo código HTML peligroso, en sitios que así lo permiten e y Indirectamente modificando valores que la aplicación web utiliza para pasar variables entre dos páginas, y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP, lo que es confirmado por el Gobierno Español cuando explica que fue un fotomontaje al que se le asigno una dirección que luego se ha distribuido en internet a través de redes sociales y bitácoras. Graficamente seria como este ejemplo que consegui en Wikipedia.


" Supongamos que un sitio web tiene la siguiente forma:
http://www.example.com/home.asp?frame=menu.asp

y que al acceder se creara un documento HTML enlazando con un frame a menu.asp. En este ejemplo, ¿qué pasaría si se pone como URL del frame un código javascript?


 javascript:while(1)alert("Este mensaje saldra indefinidamente");

Si este enlace lo pone un atacante hacia una victima, un visitante podrá verlo y verá que es del mismo dominio, suponiendo que no puede ser nada malo y de resultado tendrá un loop infinito de mensajes".  Es decir, la web principal no sufre ningun daño ya que aunque es un tipo de inseguridad informática se basa en la explotación de vulnerabilidades del sistema de validación de la pagina. Pero si el atacante se poseciona en una pagina como si fuera suya. Entonces mi pregunta es ¿Acaso el atacante no podría ejecutar otras acciones sin siquiera necesitar el permiso de la víctima?

 


2 comentarios:

  1. ¡Hola! Muchas gracias por tus comentarios en el "Diario de Simbad". La verdad es que adoro a HG Wells y me gusta ver que no soy el único.

    Por si te interesa, mi blog principal es poderfriki.com

    ¡Hasta la próxima!

    ResponderEliminar
  2. Prof. Pedro José Casique Noy14 de abril de 2010, 19:54

    Saludos, le escribe el Prof. Pedro Casique Coordinador del Colegio María Montessori, ya recibí su resumen curricular, la espero el martes a las 8:ooam para las entrevistas, mi num es 0416-279.46.65

    ResponderEliminar

Me encantaria saber tu opinión. comenta aqui...

Comentarios

Galeria

National Geographic

cc

Creative Commons License
Encontrarle Sentido a la Vida by jessika peña es autorizado bajo Creative Commons Reconocimiento 3.0 Unported License.
Basado en un trabajo enserolfisis.blogspot.com
Protected by Copyscape Duplicate Content Checker