Soy hacker, soy cool. Agujeros XSS.

El otro día me comentaban la situación de pánico en una empresa de Internet, en la que alguien externo había descubierto un agujero XSS (Cross Site Scripting) en el servicio y el auto-denominado “hacker” se auto-alababa y auto-daba-bombo en su blog de lo bueno que era.

Los ataques “Cross Site Scripting” tratan de aprovechar que un sistema recoge una información (digamos un formulario web) para introducir código “maligno” en la propia aplicación y por lo tanto manipularla. La forma de evitarlo: que el webmaster controle la información que se recibe y la filtre, admitiendo sólo valores “buenos”.

Lamentablemente para el ego de este “hacker”

– Las vulnerabilidades XSS en las aplicaciones web están a la orden del día. Ningún servicio puede estar seguro de que no es vulnerable, ya que hay ataques que no pueden haberse previsto. Otra cosa es el efecto o daño que el ataque pueda causar, sobre eso sí se puede trabajar mejor. Por lo tanto, no ha descubierto algo nada original, nada extraordinario, ni siquiera ingenioso… y en este caso, además, el efecto era realmente limitado (aunque podría ser usado para otros ataques).

– Es común descubrir vulnerabilidades de este tipo y lo normal en estos casos es avisar al dueño de la aplicación o simplemente no darle bombo, ya que es posible que nadie la aproveche. E insisto, no es tan difícil descubrirlas si te pones, no supone romper una barrera intelectual.

– Hay veces que la web vulnerable ni se molesta en arreglar el problema, ya que el impacto muchas veces es limitado. Muchas veces sólo daña su imagen.

Por lo tanto, otorgo a este hacker, que mantendré en anonimato, el Gallifante a la prepotencia, ignorancia, torpeza y vanidad ilusa. Hay muchos de estos “hackers guays de moda” por ahí.

He preparado un formulario y lo he dejado abierto a algunos de estos ataques de forma simple, creo que el impacto que pueden tener sobre este site es nulo o limitado. Espero que no lo encuentre nuestro galardonado hacker, lo utilice y lo publique en su web! Podéis probar a ser hackers con los ejemplos que he dejado aquí:

http://www.quevidaesta.com/code/xss_samples/

Hay herramientas e información para hacer pruebas de vulnerabilidad de un formulario web. Dejo algunas por aquí:

http://www.acunetix.com/security-audit/index.htm

http://ha.ckers.org/xss.html

http://sla.ckers.org/forum/read.php?12,1919

Y algunas lecuras interesantes que incluyen agujeros descubiertos, no os perdáis los comments de alguno de ellos:

http://elladodelmal.blogspot.com/2007/05/xss-en-mi-contador-de-visitas.html

http://www.kriptopolis.org/vulnerabilidad-xss-en-blogspot-con-safari-y-konqueror

http://personales.ya.com/bitacora/suse/labels/pdf.html

http://www.messengeradictos.com/13/1212/noticias.php

Also read...