Ataques XSS: Cómo protegerse a sí mismo, tu a los clientes y tu a los negocios

Tobias Schüring Actualizado el 23.01.2020
5 Min.
De esta manera, los operadores y usuarios de los sitios web pueden protegerse de los ataques de scripts cruzados.
Actualizado por última vez el 23.01.2020

Los ataques de XSS son particularmente retorcidos. Y especialmente popular entre los hackers. Mostramos cómo puedes protegerte contra las alcaparrastus sitio , como operador de un sitio web y como usuario.

1599 WordPress - el proveedor de seguridadPlugins Wordfence tiene más de 14 meses análisis y la debilidad más común de todas fue la llamada Vulnerabilidades del XSS. Casi el 47 por ciento de las lagunas encontradas tenían que ver con el cross-site scripting - XSS para abreviar. Razón suficiente para examinar más de cerca el tipo de ataque en el que los hackers introducen tu sitio de contrabando código malicioso y virtualmente lo secuestran. Los atacantes utilizan tu blog, tienda o tu empresasitio como vehículo para sus actividades ilegales.

Este gráfico muestra que el XSS es wordfence la vulnerabilidad más comúnmente encontrada en Plugins el XSS.
El XSS es, en voz alta, wordfence la vulnerabilidad más comúnmente encontrada en Plugins el XSS.

Las vulnerabilidades del XSS siempre se vuelven peligrosas cuando la entrada del usuario se pasa al servidor web sin ser revisada, por ejemplo en los formularios de contacto o en los campos de comentarios. Una vez que tienen éxito, los hackers pueden robar datos, tu sitio integrarlos en una red de robots o infectar a tus los visitantes de la computadora. Afortunadamente, hay algunas medidas de protección muy simples contra los ataques de XSS.

El XSS es igualmente relevante para los visitantes y los operadores del sitio

Es importante comprender que las vulnerabilidades del XSS en WordPress las páginas son igualmente relevantes para los operadores y los visitantes del sitio. Los operadores de los sitios son explotados para cumplir los objetivos de bajo nivel de los piratas informáticos y los visitantes de los sitios suelen ser las víctimas, por ejemplo, robando datos o difundiendo código malicioso.

En principio, los ataques XSS comienzan cuando los usuarios envían datos al servidor web del operador del sitio. El código se introduce de contrabando en estos puntos neurálgicos, que - si la entrada del usuario no se comprueba críticamente, por ejemplo, por un cortafuegos - puede sitio infectarlo. Los diferentes tipos de ataques XSS se describen en nuestro Artículo de fondo sobre el tema.

Lo más importante: WordPress Actualizaciones regulares

Las vulnerabilidades utilizadas por los hackers para introducir el código malicioso están en el WordPress núcleo, en Plugins o en Themes. Esto es exactamente por qué actualización periódica de todos estos componentes son también tan importantes. Porque en estas actualizaciones, los puntos débiles que se han encontrado hasta ahora serán arreglados.

También tiene sentido leer regularmente los detalles de las actualizaciones de los respectivos fabricantes para tener una idea de los agujeros de seguridad que se cierran regularmente con las actualizaciones. Para el mantenimiento y las actualizaciones de seguridad de WordPress -Núcleo, esta información se almacena, por ejemplo, en el WordPress -blog. El mejor ejemplo es la última actualización de seguridad, WordPress 4.7.5.

Cortafuegos y listas blancas contra simples ataques XSS

Otra simple medida de protección contra los ataques de XSS son las llamadas Cortafuegos de aplicaciones webo WAF. Estos cortafuegos son el corazón de la gran seguridadPlugins y se alimentan de las últimas vulnerabilidades por el respectivo equipo de investigación del fabricante. A WAF es generalmente un procedimiento que Aplicaciones web de los ataques a través de la Transferencia de hipertexto Protocolo (HTTP) protege.

Pero incluso estos mecanismos de protección tienen sus límites. En algunos ataques XSS, el ataque se realiza a través de la base de datos. Por lo tanto, la comprobación de la entrada del usuario para detectar código malicioso es uno de los mecanismos centrales de seguridad en la lucha contra los ataques XSS. Por ejemplo, el contenido de los comentarios sobre las cadenas de caracteres sospechosos escaneado y clasificado si es necesario.

La salida de los datos también debe ser asegurada

Las actualizaciones regulares cierran los agujeros de seguridad de XSS existentes y los cortafuegos y listas blancas intentan filtrar el código malicioso antes de que llegue al servidor web y pueda sitio infectarlo. Sin embargo, la salida de datos también debe ser asegurada en consecuencia. La mayoría de los lenguajes de programación y scripts, como PHP, Perl o JavaScript, ya tienen funciones predefinidas para el reemplazo o el enmascaramiento de caracteres. Estos aseguran que los meta caracteres "problemáticos" del HTML (por ejemplo, <, y >&) sean reemplazados por referencias de caracteres inofensivos. Esto evita que el código malicioso se active. El código también debe ser protegido usando el llamado bibliotecas de saneamiento debe ser ajustado. Esto se hace instalando un Plugin código en el servidor e integrando código adicional en el código fuente de su página. El siguiente fragmento de código se añadirá a los atributos permitidos, por ejemplo:

Así es como el código de configuración que se necesita para realizar una higienización del código puede verse.
Así es como el código que se necesita para realizar una higienización del código puede verse.

Se requieren conocimientos de programación para ponerlo en práctica. Un desarrollador o un CTO, por ejemplo, puede implementar fácilmente esta protección de salida de datos.

Un saludable grado de escepticismo: Cómo se protegen los usuarios

Pero no sólo los operadores del sitio, también los visitantes del sitio se ven afectados por los ataques de XSS. Muchos ataques XSS ya pueden prevenirse mediante un manejo crítico y cuidadoso en relación con los enlaces "extranjeros". Los usuarios tienen la posibilidad, por ejemplo, NoScript Addons para usar. Éstas impiden la ejecución de scripts, es decir, de líneas de código maliciosas que, por ejemplo, roban datos.

Si quieres estar seguro, también puedes evitar el cross-site scripting del lado del cliente simplemente desactivando el soporte de JavaScript en tu navegador. Porque es esto lo que se llama escritura activa está desactivado, ciertos tipos de ataques XSS ya no tienen oportunidad porque las aplicaciones maliciosas ni siquiera se inician. Sin embargo, la mayoría de los sitios web modernos ya no "funcionan" correctamente o, en el peor de los casos, no funcionan en absoluto. Así que aquí es necesario sopesar los aspectos de seguridad y usabilidad.

Así es como se desactiva JavaScript con un solo clic en la configuración del navegador Chrome.
Así es como se desactiva JavaScript con un solo clic en la configuración del navegador Chrome.

Conclusión: los ataques XSS son a veces muy complejos, pero la protección es a veces bastante simple

El XSS representa un peligro para usted como operador de un sitio web, así como para tu los visitantes y clientes. Una y otra vez los puntos débiles en Plugins o se Themes hacen conocidos. Así que por ejemplo con el Plugin Estadísticas del WPcon más de 400.000 instalaciones activas, o con WooCommerce y el jetpackcon más de tres millones de instalaciones activas cada una.

Pero si tu Plugins nos mantienes al Themes día y usas un WAF, ya has dado un gran paso en la dirección correcta. Si también usas listas blancas para el código de entrada y salida, tu sitio ya tienes una gran seguridad. Sin embargo, las dos últimas medidas en particular no son fáciles de aplicar sin conocimientos de programación.

Comparado con el más bien primitivo Brute Force Ataques los ataques XSS más complejos son, desafortunadamente, todavía relativamente exitosos. Sin embargo, hay significativamente menos de estos llamados ataques complejos que hay Brute Force Ataques a WordPress -Páginas da. Aún así, deberías dificultar lo más posible a los atacantes. Un hackeo exitoso no sólo cuesta tiempo y dinero para eliminar los scripts, sino que también puede poner en peligro su tu posición en los motores de búsqueda.

¿Tal vez ya has tenido experiencia con ataques XSS? ¿Qué haces para protegerte de ellos?

Como administrador de sistemas, Tobías vigila nuestra infraestructura y encuentra todas las formas posibles de optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le Slack encuentra por la noche.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

tu La dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con * marcado.