Hoy, Cross-site Scripting

Ya hace varios años que quiero, o bien dedicarme, o bien saber de seguridad informatica.

Debido al poco uso laboral en el ambiente normal de la industria (por lo menos la Argentina), tuve que dedicarme a ver esto por cuenta propia.

Primero, leyendo libros, despues, algunos foros y blogs, etc.

Pero bueno, basta de boludeces y vamos al ejemplo de hoy.

Estaba entre Injections y esto, pero como varios que leen esto ya estan al tanto de que son las injections, vamos a hablar de Cross-site Scripting (en este caso DOM-Based).

Rapidamente, tenemos el siguiente escenario:

Pepe le manda a Esteban una URL, por algun medio, de una pagina que contiene codigo malicioso. Cuando Esteban hace click en ese link, el codigo JavaScript abre una pagina, ya instalada en la computadora de Esteban. Esta pagina, contiene codigo JS que se ejecuta localmente, con los privilegios de Esteban.

Evidentemente, esto hace que la informacion (passwords, cookies, etc.) que contiene la maquina de Esteban, queden vulnerables ante un ataque.

Algunos ejemplos de codigos maliciosos en mi pagina preferida :p

Podria hacerlo mucho mas extenso, agregando un par mas de ejemplos, pero es domingo a la noche y en cualquier momento pasan el partido de Boca en FdP :D

Les dejo un par de links que hablan sobre esto, cuando pueda agrego mas informacion.

http://en.wikipedia.org/wiki/Cross-site_scripting
http://www.technicalinfo.net/papers/CSS.html
http://www.windowsecurity.com/articles/Cross-Site-Scripting-Underestimated-Exploit.html

Los dejo con un videito, proximamente les doy el ejemplo de Google App Engine (aunque necesito alguna idea para probar, saliendo del clasico tutorial o "fotolog") y me falta pulir el Adaptador y publicarlo.



Saludos Gente!

Blue

P.D: Mañana les cuento de mi migracion de WinXP a Ubuntu (una vez mas), CYA!