\begin{abstract}

En este informe queremos explorar el alcance de la vulnerabilidad de Cross Sites Scripting (XSS). Nuestro alcance será su explotación, excluyendo su detección, desencadenamiento y prevención. Sólo se considerarán las mitigaciones genéricas que afectan a XSS en general y restringen su explotación.

Primero presentaremos brevemente la causa raíz de un XSS, y exploraremos algunas de las posibles acciones que un atacante podría tomar aprovechándolas. Luego, consideraremos las restricciones aplicadas a estas acciones por el entorno de la Web y el navegador web. Finalmente, describiremos posibles escenarios de ataque que pueden tener lugar dentro de los límites de estas restricciones, y demostrarlos bajo condiciones realistas. Los pasos de nuestra demostración serán: configurar una aplicación vulnerable, luego coordinar los ataques contra ella (ejecutar acciones en nombre del usuario objetivo, robar información privada, comprometer el navegador del objetivo en un ataque Man in the Browser).

\end{abstract}

# Introducción

**Cross-site scripting(XSS)** es un tipo de [seguridad informática vulnerabilidad](https://en.wikipedia.org/wiki/Computer_security) se encuentran típicamente en [aplicaciones web](https://en.wikipedia.org/wiki/Web_application) benignos y de confianza . XSS permite a los atacantes [inyectar secuencias de comandos del lado del cliente](https://en.wikipedia.org/wiki/Client-side_script) en las páginas web visitadas por otros usuarios. Las fallas que permiten que estos ataques tengan éxito son bastante generalizadas y se producen en cualquier lugar donde una aplicación web utiliza la entrada de un usuario dentro de la salida que genera sin validarla o codificarla.
 
Un atacante puede usar XSS para enviar una secuencia de comandos malicioso a un usuario desprevenido. El navegador del usuario final no tiene forma de saber que el script no debe ser de confianza, y ejecutará el script. Debido a que piensa que el script proviene de una fuente de confianza, el script malicioso puede acceder a cualquier cookie, token de sesión u otra información confidencial que el navegador mantenga y que se utilice con ese sitio. Estos scripts pueden incluso reescribir el contenido de la página HTML. Para obtener más detalles sobre los diferentes tipos de fallas XSS, consulte: [Tipos de scripts entre sitios](https://www.owasp.org/index.php/Types_of_Cross-Site_Scripting).
 
Una vulnerabilidad de secuencias de comandos entre sitio puede ser utilizado por los atacantes para eludir [los controles de acceso](https://en.wikipedia.org/wiki/Access_control), como la [política del mismo origen](los controles de acceso). Cross-site scripting llevado a cabo en los sitios web representó aproximadamente el 84% de todas las vulnerabilidades de seguridad documentadas por Symantec a partir de 2007. [1] Su efecto puede variar desde una pequeña molestia a un riesgo de seguridad, dependiendo de la sensibilidad de los datos que maneja el sitio vulnerable y la naturaleza de cualquier mitigación de seguridad implementada por el propietario del sitio.

# Antecedentes

Antecedentes
Seguridad en la red depende de una variedad de mecanismos, incluyendo un concepto subyacente de confianza conocida como la política del mismo origen . Esto, en esencia: que si el contenido de un sitio (como https://mybank.example1.com ) se concede permiso para acceder a recursos en un sistema, entonces cualquier contenido de ese sitio compartirá estos permisos, mientras que el contenido de otro sitio ( https : //othersite.example2.com ) tendrá que ser concedido permisos por separado.

Cross-site scripting ataques utilizan vulnerabilidades conocidas en aplicaciones basadas en la web, sus servidores, o los sistemas de plug-in de los que dependen. La explotación de uno de éstos, los atacantes se pliegan contenido malicioso en el contenido entregado desde el sitio comprometido. Cuando el contenido combinado resultante llega a la del lado del cliente [navegador web](https://en.wikipedia.org/wiki/Web_browser), todo se ha librado de la fuente de confianza, y por lo tanto opera bajo los permisos concedidos a ese sistema. Al encontrar maneras de inyectar scripts maliciosos en páginas web, el atacante puede obtener acceso elevadas-privilegios a contenido de la página sensibles, a las cookies de sesión, y una variedad de otros datos mantenida por el navegador en nombre del usuario. Cross-site scripting ataques son un caso de [inyección de código](https://en.wikipedia.org/wiki/Code_injection).

Microsoft Security-ingenieros introdujeron el término "cross-site scripting" en enero de 2000. La expresión "cross-site scripting" originalmente se refiere al acto de cargar la aplicación web de terceros atacado por un ataque in situ sin relación, de una manera que realiza un fragmento de [JavaScript](https://en.wikipedia.org/wiki/JavaScript) preparado por el atacante en el [contexto de seguridad](contexto de seguridad) del dominio dirigido (aprovechando un reflejada o no persistente vulnerabilidad XSS). La definición se expandió gradualmente para abarcar otros modos de inyección de código, incluyendo los vectores persistentes y no de JavaScript (incluyendo [ActiveX](https://en.wikipedia.org/wiki/ActiveX), [Java](https://en.wikipedia.org/wiki/Java_%28programming_language%29), [VBScript](https://en.wikipedia.org/wiki/VBScript), del [flash](https://en.wikipedia.org/wiki/Adobe_Flash), o incluso HTML guiones), causando cierta confusión a los recién llegados al campo de la [seguridad de la información](https://en.wikipedia.org/wiki/Information_security).

Vulnerabilidades XSS se han reportado y explotado desde los años 1990. Sitios prominentes afectadas en el pasado incluyen los sitios de redes sociales de Twitter, Facebook, MySpace, YouTube y Orkut. Las fallas de Cross-site scripting desde entonces han superado los [desbordamientos de búfer](https://en.wikipedia.org/wiki/Buffer_overflow) para convertirse en la vulnerabilidad de seguridad más común reportado públicamente, con algunos investigadores en 2007 la estimación de tantos como 68% de los sitios web es probable abierto a ataques XSS.

# [Background](https://www.owasp.org/index.php/Types_of_Cross-Site_Scripting)

En este artículo se describen los diferentes tipos o categorías de vulnerabilidades de XSS (cross-site scripting) y cómo se relacionan entre sí.

Primero, se identificaron dos tipos principales de XSS, XSS almacenado y XSS reflejado. En 2005, [Amit Klein definió un tercer tipo de XSS](http://www.webappsec.org/projects/articles/071105.shtml), que acuñó DOM Based XSS. Estos 3 tipos de XSS se definen de la siguiente manera:

XSS almacenado (AKA persistente o tipo I)

XSS almacenado generalmente se produce cuando la entrada del usuario se almacena en el servidor de destino, como en una base de datos, en un foro de mensajes, registro de visitantes, campo de comentarios, etc Y entonces una víctima es capaz de recuperar los datos almacenados de la aplicación web sin que Datos que se hacen seguros para renderizar en el navegador. Con la llegada de HTML5 y otras tecnologías de navegación, podemos ver que la carga útil del ataque se almacena permanentemente en el navegador de la víctima, como una base de datos HTML5, y nunca se envía al servidor en absoluto.

XSS reflejado (AKA no persistente o tipo II)

La XSS reflejada se produce cuando la entrada del usuario es devuelta inmediatamente por una aplicación web en un mensaje de error, resultado de búsqueda o cualquier otra respuesta que incluya parte o la totalidad de la entrada proporcionada por el usuario como parte de la solicitud, Renderizar en el navegador, y sin almacenar permanentemente los datos proporcionados por el usuario. En algunos casos, los datos proporcionados por el usuario nunca pueden salir del navegador (consulte XSS basado en DOM).

[DOM basado en XSS (AKA tipo-0)](https://www.owasp.org/index.php/DOM_Based_XSS)

Como se define por Amit Klein, que publicó el primer artículo sobre este tema [1], DOM Based XSS es una forma de XSS donde el flujo entero de datos contaminados de fuente a fregadero tiene lugar en el navegador, es decir, la fuente de los datos es En el DOM, el fregadero está también en el DOM, y el flujo de datos nunca sale del navegador. Por ejemplo, la fuente (donde se leen los datos maliciosos) podría ser la URL de la página (por ejemplo, document.location.href), o podría ser un elemento del HTML y el receptor es una llamada al método sensible que causa la Ejecución de los datos maliciosos (por ejemplo, document.write). "

# Tipos de scripts entre sitios

Durante años, la mayoría de la gente pensaba en estos (almacenados, reflejados, DOM) como tres tipos diferentes de XSS, pero en realidad, se superponen. Puede tener tanto almacenado como reflejado DOM Based XSS. También puede haber almacenado y reflejado XSS no DOM también, pero eso es confuso, por lo que para ayudar a aclarar las cosas, a partir de mediados de 2012, la comunidad de investigación propuso y comenzó a utilizar dos nuevos términos para ayudar a organizar los tipos de XSS que pueden ocurrir:

* Servidor XSS
* Cliente XSS

## Server XSS

El servidor XSS ocurre cuando los datos suministrados por el usuario que no son de confianza se incluyen en una respuesta HTML generada por el servidor. La fuente de estos datos podría ser de la solicitud, o de una ubicación almacenada. Como tal, puede tener tanto Reflexed Server XSS como XSS almacenado.

En este caso, toda la vulnerabilidad está en el código del servidor, y el navegador simplemente está procesando la respuesta y ejecutando cualquier script válido incrustado en él.

## Client XSS

El cliente XSS se produce cuando se utilizan datos no fiables proporcionados por el usuario para actualizar el DOM con una llamada insegura de JavaScript. Una llamada de JavaScript se considera insegura si se puede utilizar para introducir JavaScript válido en el DOM. Esta fuente de estos datos podría ser del DOM, o podría haber sido enviada por el servidor (a través de una llamada AJAX, o una carga de página). La fuente última de los datos podría haber sido de una solicitud, o de una ubicación almacenada en el cliente o el servidor. Como tal, puede tener tanto el cliente reflejado XSS como el cliente almacenado XSS.

Con estas nuevas definiciones, la definición de DOM basado XSS no cambia. DOM Based XSS es simplemente un subconjunto de Client XSS, donde el origen de los datos está en algún lugar en el DOM, en lugar de desde el servidor.

Dado que tanto el servidor XSS como el cliente XSS pueden almacenarse o reflejarse, esta nueva terminología resulta en una matriz simple y limpia de 2 x 2 con Client & Server XSS en un eje y XSS almacenado y reflejado en el otro eje como se muestra aquí:

\begin{figure}[!h]
\includegraphics[scale=0.5]{ima/1.png}
\centering
\end{figure}