Reflected XSS

Reflected XSS es el ataque XSS (Cross-site scripting) más frecuente y se conoce también como XSS de primer orden, XSS tipo 1, XSS no persistente, XSS indirecto, XSS reflejado, etc. Por todo ello prefiero el término en inglés que es menos ambiguo.

Este ataque ocurre cuando se inyecta código ejecutable en el navegador de la víctima mediante una sola petición HTTP. Normalmente el código es programado en Javascript, pero pueden ser usados otros lenguajes de programación como ActionScript y VBScript.

La ejecución de este ataque está compuesta por tres pasos: el atacante diseña el script de ataque, luego utiliza técnicas de ingeniería social para lograr que la víctima solicite la ejecución sin su conocimiento del script en su navegador y el paso último es la ejecución del script en sí.

Un ataque Reflected XSS puede instalar un keylogger, robar las cookies de la víctima y secuestrar su sesión, cambiar el contenido de la página web actual, etc. Una dificultad importante en el combate de este ataque son los problemas para filtrar los caracteres de codificación.

Hay mucha documentación en internet sobre este tema, les recomiendo para profundizar los siguientes enlaces:

Anuncios

3 comentarios en “Reflected XSS

  1. Pingback: Testing for Cookies attributes (OTG-SESS-002) | Behique Digital

  2. Pingback: ST16-001 | Seguridad en los Datos de Registros de Electores | Behique Digital

  3. Pingback: Problemas del “pentesting real” según Marek Zmysłowski (III)- Mi Nessus es mejor que el tuyo | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s