Iloo

https://iloo.wordpress.com

Archivos por Etiqueta: site

Web Applications Security: tip 1, XSS

Unas sugerencias o tip, al momento de realizar el desarrollo de aplicaciones web es importante cuidar de agujeros (bugs) de tipo XSS (Cross-site scripting) ya que son de los más comunes en el desarrollo, básicamente se explota parámetros enviados mediante el método get.

Para ser más claros un ejemplo tenemos la siguiente sección de validación de usuarios (caso real):

Si validamos los datos de entrada:

Tenemos la siguiente dirección generada:

http://www.dominio.com/movil/index.php?msn=Debe%20especificar%20un%20usuario%20y%20password

Que pasa si cambiamos la dirección a esto:

http://www.dominio.com/movil/index.php?msn=%3Ciframe%20src=’https://iloo.wordpress.com’%3E%3C/iframe%3E

Tenemos:

Ahora que pasaría si ponemos:

http://www.dominio.com/movil/index.php?msn=/etc/passwd

Como se puede observar este método es uno de los más sencillos para poder tener acceso a datos del servidor y por tanto es necesario filtrar los datos enviados por el método get.