Ataques XSS: cómo protegerse, tu clientes y tu negocio

Tobias Schüring Última actualización 23.01.2020
5 min.
De este modo, los operadores de sitios web y los usuarios pueden protegerse contra los ataques de secuencias de comandos entre sitios.
Última actualización 23.01.2020

Los ataques XSS son especialmente sigilosos. Y particularmente popular entre los hackers. Le mostramos cómo puede protegerse contra el secuestro de tus sitio - como operador del sitio web y como usuario.

1599 WordPress -Plugins fueron analizados por el proveedor de seguridad Wordfence durante un periodo de 14 meses, y las vulnerabilidades más frecuentes de todas fueron las llamadas XSS. Casi el 47% de las brechas encontradas tenían que ver con el cross-site scripting - XSS para abreviar. Razón suficiente para analizar este tipo de ataque, en el que los hackers inyectan código malicioso en tu sitio y lo secuestran virtualmente. De este modo, los atacantes utilizan su blog, su tienda o el sitio web de la empresa tu como vehículo para sus actividades ilegales.

Este gráfico muestra que el XSS es la vulnerabilidad más común encontrada en Plugins , según wordfence .
XSS es la vulnerabilidad más comúnmente encontrada en Plugins , según wordfence .

Las vulnerabilidades XSS se vuelven peligrosas siempre que la entrada del usuario se envía al servidor web sin ser comprobada, por ejemplo en los formularios de contacto o en los campos de comentarios. Una vez explotados, los hackers pueden robar datos, integrar tu sitio en una red de bots o infectar los ordenadores de los visitantes de tus . Afortunadamente, existen algunas medidas de protección muy sencillas contra los ataques XSS.

El XSS es relevante tanto para los visitantes como para los operadores del sitio

Es importante entender que las vulnerabilidades XSS en los sitios WordPress son relevantes tanto para los operadores del sitio como para los visitantes. Los operadores de los sitios son explotados para cumplir los objetivos de bajo nivel de los hackers, y los visitantes del sitio son a menudo las víctimas, por ejemplo, a través del robo de datos o la distribución de código malicioso.

En principio, los ataques XSS comienzan cuando los usuarios envían datos al servidor web del operador del sitio. En estos puntos neurálgicos se inyecta un código que, si la entrada del usuario no se comprueba de forma crítica, por ejemplo, mediante un cortafuegos, puede infectar la sitio . Los diferentes tipos de ataques XSS se resumen en nuestro artículo de fondo sobre el tema.

Lo más importante: actualizaciones periódicas de WordPress

Las vulnerabilidades que los hackers utilizan para inyectar código malicioso se encuentran en el núcleo de WordPress , en Plugins o en Themes. Precisamente por eso son tan importantes las actualizaciones periódicas de todos estos componentes. Las vulnerabilidades que se han encontrado hasta la fecha se solucionan en estas actualizaciones.

También tiene sentido leer con regularidad los detalles de las actualizaciones de los respectivos fabricantes para tener una idea de qué brechas de seguridad se cierran regularmente a través de las actualizaciones. Para el mantenimiento y las actualizaciones de seguridad del núcleo de WordPress , esta información está documentada en el blog WordPress , por ejemplo. El mejor ejemplo de ello es la última actualización de seguridad, WordPress 4.7.5.

Cortafuegos y listas blancas contra ataques XSS simples

Otra medida de protección sencilla contra los ataques XSS son los llamados cortafuegos de aplicaciones web, o WAF. Estos cortafuegos son el corazón de la gran seguridadPlugins y son alimentados con las últimas vulnerabilidades por el respectivo equipo de investigación del fabricante. Un WAF es generalmente un procedimiento que protegelas aplicaciones web de los ataques a través del protocolo detransferencia de hipertexto (HTTP).

Sin embargo, incluso estos mecanismos de protección tienen sus límites. En algunos ataques XSS, el ataque se produce a través de la base de datos. Por lo tanto, la comprobación de la entrada del usuario en busca de código malicioso es uno de los mecanismos de seguridad centrales en la lucha contra los ataques XSS. Por ejemplo, se analiza el contenido de los comentarios en busca de cadenas de caracteres sospechosas y se clasifica si es necesario.

La salida de datos también debe estar asegurada

Regelmäßige Updates schließen vorhandene XSS-Sicherheitslücken und Firewalls sowie Whitelists versuchen Schadcode auszufiltern, bevor dieser den Webserver erreicht und die Seite infizieren kann. Doch sollte auch die Datenausgabe entsprechend gesichert werden. Die meisten Programmier- und Skriptsprachen, wie PHP, Perl oder JavaScript, besitzen hierfür bereits vordefinierte Funktionen zur Zeichenersetzung bzw. -maskierung. Diese sorgen dafür, dass “problematische” HTML-Metazeichen (z. B. <, > und &) durch harmlose Zeichenreferenzen ersetzt werden. So wird verhindert, dass der Schadcode aktiv werden kann. Auch sollte der Code mithilfe von sog. sanitization libraries bereinigt werden. Hierfür wird ein Plugin auf dem Server installiert und zusätzlicher Code in deinen Seitenquellcode eingebunden. Der folgende Code-Schnipsel sorgt dann zum Beispiel dafür, dass <class> zu den erlaubten Attributen hinzugefügt wird:

Este es el aspecto del código de configuración que necesita para realizar la sanitización del código.
Este es el aspecto del código que necesita para realizar la sanitización del código.

Se requieren conocimientos de programación para ponerlo en práctica. Esta protección de la salida de datos puede ser fácilmente implementada por un desarrollador o un CTO, por ejemplo.

Una buena dosis de escepticismo: cómo se protegen los usuarios

Pero no sólo los operadores de la página, también los visitantes de la misma se ven afectados por los ataques XSS. Muchos ataques XSS ya pueden evitarse mediante un manejo crítico y cuidadoso en relación con los enlaces "extranjeros". Por ejemplo, los usuarios tienen la opción de utilizar complementos NoScript .Estos impiden la ejecución de scripts, es decir, las líneas de código dañinas que roban datos, por ejemplo.

Si quiere estar seguro, también puede evitar el cross-site scripting del lado del cliente simplemente desactivando el soporte de JavaScript en el navegador. Porque si este llamado scripting activo está desactivado, ciertos tipos de ataques XSS ya no tienen oportunidad, ya que las aplicaciones maliciosas ni siquiera se inician. Sin embargo, la mayoría de los sitios web modernos dejan de "funcionar" correctamente o, en el peor de los casos, dejan de funcionar. Por lo tanto, es necesario sopesar los aspectos de seguridad y usabilidad.

Cómo desactivar JavaScript con un solo clic en la configuración del navegador Chrome.
Cómo desactivar JavaScript con un solo clic en la configuración del navegador Chrome.

Conclusión: los ataques XSS son a veces muy complejos, pero la protección es a veces bastante sencilla.

El XSS es un peligro para usted, como operador de un sitio web, así como para los visitantes y clientes de tu . Una y otra vez se conocen vulnerabilidades en Plugins o Themes . Por ejemplo, el sitio Plugin WP Statistics, con más de 400.000 instalaciones activas, o WooCommerce y Jetpack, cada uno con más de tres millones de instalaciones activas.

Si mantiene actualizados tu Plugins y Themes y utiliza un WAF, ya ha dado un gran paso en la dirección correcta. Si además utiliza listas blancas para el código entrante y saliente, ya ha asegurado de forma excelente tu sitio . Sin embargo, las dos últimas medidas en particular no son fáciles de aplicar sin conocimientos de programación.

En comparación con los ataqueBrute Force s bastante primitivos de los ataques XSS más complejos, por desgracia, siguen teniendo éxito con relativa frecuencia. Sin embargo, el número de estos llamados ataques complejos es significativamente menor que el de los ataques deBrute Force a las páginas WordPress .. No obstante, debe dificultar al máximo a los atacantes. Un hackeo exitoso no sólo cuesta tiempo y dinero para la eliminación de los scripts, sino que también puede poner en peligro la posición de tu en los motores de búsqueda.

¿Quizás ya has tenido experiencias con ataques XSS? ¿Qué hace usted para protegerse de ellos?

Como administrador de sistemas, Tobias vigila nuestra infraestructura y encuentra cada tornillo para optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le puede encontrar por la noche en Slack.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.