Cross Site Scripting es una vulnerabilidad muy común en muchos
servidores web, sobre todo en aquellos que usan páginas dinámicas para
generar el contenido. La vulnerabilidad se basa en inyectar código
malicioso en una página web para modificar su apariencia, ejecutar
scripts en los navegadores o, en algunos casos, para robar cookies
almacenadas en los ordenadores de los usuarios.
El 5 de Junio la gente de EyeonSecurity ha publicado un documento
titulado «El ataque Flash!» donde describen un método para inyectar
código JavaScript malicioso en archivos Macromedia Flash.
A pesar de que la vulnerabilidad no hace más peligroso el Cross Site
Scripting, abre nuevas vías desconocidas hasta el momento para realizar
este tipo de ataques. La solución más simple para evitar esta variante
de Cross Site Scripting consiste en no permitir a los usuarios incrustar
objetos Flash en las páginas con contenido dinámico.
david@hispasec.com
Más información:
EyeonSecurity:
http://eyeonsecurity.com/
Bypassing JavaScript Filters – the Flash! Attack:
http://eyeonsecurity.net/papers/flash-xss.pdf
Macromedia® Flash:
http://www.macromedia.com/flash/
The Cross Site Scripting FAQ:
http://www.cgisecurity.com/articles/xss-faq.shtml
Cross Site Scripting Vulnerabilites:
http://www.cert.org/archive/pdf/cross_site_scripting.pdf
Vulnerabilidad: Cross Site Scripting (XSS):
http://www.kamborio.com/?Section=Articles&Mode=select&ID=30
Deja un comentario