Los ataques tipo Cross-Site Scripting (XSS, conocidos con este acrónimo para no confundirlo con el de las hojas de estilo CSS) son una vulnerabilidad que afecta típicamente a las aplicaciones Web, y que se basa en la inserción de código Web malicioso aprovechando las carencias de filtrado de la Web afectada.

Para conocer datos técnicos sobre esta vulnerabilidad, hacemos referencia al siguiente documento, o bien a la propia entrada de la wikipedia.


Este tipo de ataque ha ido ganando importancia a lo largo del tiempo, hasta situarse en el puesto número uno dentro del ranking de amenazas Web más comunes.

A pesar de la frecuencia de esta vulnerabilidad, son muchos los que la infravaloran debido a que en la gran parte de los casos, es necesario que el usuario acceda al enlace especialmente formado para poder explotarla.

Sin embargo, y debido al gran desconocimiento de muchos usuarios, existen numerosas técnicas para que, tanto de forma directa como indirecta, se acabe accediendo a la URL infectada.

Como muestra del alcance de esta vulnerabilidad, en este vídeo se ven algunos ejemplos de hasta que punto se puede tomar el control de un ordenador que ha sido víctima de un Cross-Site Scripting, y como utilizando BeEF (Browser Explotation Framework) se puede llegar a controlar todo una botnet.


Muy conocido fue el caso del gusano Samy que afectaba a la red social MySpace y que aprovechaba un Cross-Site Scripting para infectar a todos los usuarios de esta red.

A modo de resumen final, se listan algunos ataques que pueden utilizar un Cross-Site Scripting como vector de ataque:
  • Phishing
  • Hijacking de sesiones
  • Robo de credenciales
  • Defacements
  • Escaneo de redes
  • keylogging


Jonathan Barajas
S21sec Auditoría


Fuente: http://blog.s21sec.com/2008/06/no-subestimes-tus-cross-site-scriptings.html