Página de presentación

XSS son las iniciales de Cross-Site Scripting. Se trata de una vulnerabilidad que puede tener una aplicación web y que explotada permite a un atacante inyectar código del lado cliente, generalmente Javascript, en la misma. Con ese código el atacante pretende conseguir varios objetivos ilícitos. El más peligroso de ellos sería hacerse con la sesión del usuario en el sitio.

Esto sólo es posible si la aplicación no transforma adecuadamente los datos que los usuarios pueden introducir o no los sanea antes de volverlos a mostrar. El programador debe decidirse por una de las dos opciones en función del tipo de datos que espera, pues según qué datos podrían verse alterados si se sanea la entrada.

Que una aplicación tenga en un punto, o en varios, esta vulnerabilidad pues ser debido a razones como:

• El programador no sabe proteger su aplicación de estos ataques.
• Fecha de entrega del producto demasiado ajustada o cambios de última hora.
• Cambios sobre cambios que agotan la energía del programador.

Sobre aspectos como los factores humanos o funcionamiento de la empresa poco puede hacer el programador pero sobre el primer punto llega Google al rescate. Esta empresa ha sacado un juego, más orientado a desarrolladores que a crackers, para que aprendan acerca de las diferentes técnicas que los malos tienen a su disposición. El juego se presenta en forma de niveles y es bastante instructivo. Aquí tienes el enlace si quieres jugar.

Esto no es por amor al arte. Los de Mountain View pagarán hasta 7500$ a quien encuentre y reporte una vulnerabilidad de este tipo en cualquier aplicación de Google.