{"id":2121,"date":"2018-06-05T12:05:22","date_gmt":"2018-06-05T17:05:22","guid":{"rendered":"http:\/\/blog.hostdime.com.pe\/?p=2121"},"modified":"2018-06-13T18:42:22","modified_gmt":"2018-06-13T23:42:22","slug":"puede-certificado-ssl-prevenir-ataques-xss","status":"publish","type":"post","link":"https:\/\/www.hostdime.com.pe\/blog\/puede-certificado-ssl-prevenir-ataques-xss\/","title":{"rendered":"\u00bfPuede el certificado SSL prevenir ataques XSS?"},"content":{"rendered":"<p><span style=\"font-weight: 400;\">El XSS o Cross Site Scripting es un tipo espec\u00edfico de ciberataque mediante el cual se busca encontrar vulnerabilidades en una aplicaci\u00f3n web para introducir un script da\u00f1ino y atacar el sistema, utilizando un contexto v\u00e1lido y confiable para el usuario. Los scripts son, b\u00e1sicamente, archivos de comandos o programas escritos en lenguajes de programaci\u00f3n que se ejecutan directamente en el navegador web. En algunos casos los atacantes podr\u00edan acceder a informaci\u00f3n sensible.<\/span><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-2124\" src=\"https:\/\/www.hostdime.com.pe\/blog\/wp-content\/uploads\/2018\/06\/El-XSS-o-Cross-Site-Scripting.png\" alt=\"El XSS o Cross Site Scripting\" width=\"600\" height=\"400\" \/><\/p>\n<p style=\"text-align: justify;\"><span style=\"font-weight: 400;\">En todos los casos en que una aplicaci\u00f3n web env\u00ede datos de un usuario y estos no est\u00e9n validados, existe un riesgo de ataque por Cross Site Scripting o XSS, pues esta es la v\u00eda mediante la cual los archivos maliciosos llegan al cliente o al navegador. Una vez all\u00ed, las aplicaciones infectadas manipulan los scripts propios de la p\u00e1gina tales como: formularios de registro, comentarios, etc. y mientras para el usuario la p\u00e1gina es segura, los datos est\u00e1n siendo enviados a otro sitio sin ning\u00fan filtro de seguridad.<\/span><\/p>\n<p style=\"text-align: justify;\"><span style=\"font-weight: 400;\">Existen distintos tipos de ataques XSS, algunos de ellos son:<\/span><\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_77 counter-hierarchy ez-toc-counter ez-toc-light-blue ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f37adc20202\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f37adc20202\"  aria-label=\"Alternar\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.hostdime.com.pe\/blog\/puede-certificado-ssl-prevenir-ataques-xss\/#XSS_indirecto_o_reflejado\" >XSS indirecto o reflejado<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.hostdime.com.pe\/blog\/puede-certificado-ssl-prevenir-ataques-xss\/#XSS_directo_o_persistente\" >XSS directo o persistente<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.hostdime.com.pe\/blog\/puede-certificado-ssl-prevenir-ataques-xss\/#XSS_en_DOM\" >XSS en DOM<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.hostdime.com.pe\/blog\/puede-certificado-ssl-prevenir-ataques-xss\/#%C2%BFPor_que_o_como_sucede_esta_vulnerabilidad\" >\u00bfPor qu\u00e9 o c\u00f3mo sucede esta vulnerabilidad?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.hostdime.com.pe\/blog\/puede-certificado-ssl-prevenir-ataques-xss\/#%C2%BFComo_se_ejecuta\" >\u00bfC\u00f3mo se ejecuta?<\/a><\/li><\/ul><\/nav><\/div>\n<h3 style=\"text-align: justify;\"><span class=\"ez-toc-section\" id=\"XSS_indirecto_o_reflejado\"><\/span><span style=\"color: #ff6600;\"><b>XSS indirecto o reflejado<\/b><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p style=\"text-align: justify;\"><span style=\"font-weight: 400;\">Al abrir una URL infectada o al llenar un formulario adulterado se env\u00eda el script da\u00f1ino al servidor web, que se env\u00eda nuevamente al cliente sin comprobaci\u00f3n. El c\u00f3digo malicioso no se almacena en el servidor, sino que existe temporalmente cuando el cliente abre la p\u00e1gina web. Las p\u00e1ginas webs din\u00e1micas y las aplicaciones de correo son especialmente vulnerables a este tipo de ataques. <\/span><\/p>\n<h3 style=\"text-align: justify;\"><span class=\"ez-toc-section\" id=\"XSS_directo_o_persistente\"><\/span><span style=\"color: #ff6600;\"><b>XSS directo o persistente<\/b><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p style=\"text-align: justify;\"><span style=\"font-weight: 400;\">Por otro lado, en este tipo de ataque los archivos infectados se almacenan en el servidor web y se liberan cada vez que se accede a una p\u00e1gina web desde un navegador. Para lograrlo, se escogen las aplicaciones web que almacenan datos de un usuario en su propio servidor y se transfieren sin m\u00e9todos de control o codificaci\u00f3n.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-2125\" src=\"https:\/\/www.hostdime.com.pe\/blog\/wp-content\/uploads\/2018\/06\/XSS-directo-o-persistente.png\" alt=\"XSS directo o persistente\" width=\"600\" height=\"400\" \/><\/p>\n<h3 style=\"text-align: justify;\"><span class=\"ez-toc-section\" id=\"XSS_en_DOM\"><\/span><span style=\"color: #ff6600;\"><b>XSS en DOM<\/b><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-weight: 400;\">Este tipo de ataques son provocados mediante los scripts que est\u00e1n del lado del cliente. Cuando abrimos una p\u00e1gina infectada, el c\u00f3digo de tipo malicioso podr\u00eda aprovechar una debilidad en la seguridad para instalarse en un archivo del explorador web y ejecutarse all\u00ed sin ning\u00fan tipo de comprobaci\u00f3n previa. Al contrario de lo que sucede en los dos tipos de ataques anteriores, en este caso no se involucra el servidor web.<\/span><\/p>\n<h3 style=\"text-align: justify;\"><span class=\"ez-toc-section\" id=\"%C2%BFPor_que_o_como_sucede_esta_vulnerabilidad\"><\/span><span style=\"color: #ff6600;\"><b>\u00bfPor qu\u00e9 o c\u00f3mo sucede esta vulnerabilidad?<\/b><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p style=\"text-align: justify;\"><span style=\"font-weight: 400;\">En la mayor\u00eda de los casos es consecuencia de la poca o falta de frecuencia de los controles necesarios en la p\u00e1gina web o aplicaci\u00f3n, que consideren la ejecuci\u00f3n de comandos en la misma p\u00e1gina web.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-2126\" src=\"https:\/\/www.hostdime.com.pe\/blog\/wp-content\/uploads\/2018\/06\/XSS-en-DOM.png\" alt=\"XSS en DOM\" width=\"600\" height=\"343\" \/><\/p>\n<h3 style=\"text-align: justify;\"><span class=\"ez-toc-section\" id=\"%C2%BFComo_se_ejecuta\"><\/span><span style=\"color: #ff6600;\"><b>\u00bfC\u00f3mo se ejecuta?<\/b><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p style=\"text-align: justify;\"><span style=\"font-weight: 400;\">Para ilustrarlo mejor, podr\u00edamos utilizar un ejemplo simple:<\/span><\/p>\n<p style=\"text-align: justify;\"><span style=\"font-weight: 400;\">1: Tenemos un servidor vulnerable a ataques XSS. <\/span><\/p>\n<p style=\"text-align: justify;\"><span style=\"font-weight: 400;\">2: Por otro lado, un atacante logra inyectar c\u00f3digo malicioso en la p\u00e1gina web que utiliza este servidor vulnerable. El c\u00f3digo inyectado hace que el usuario sea redirigido a un sitio web exactamente igual al de la web segura.<\/span><\/p>\n<p style=\"text-align: justify;\"><span style=\"font-family: -apple-system, BlinkMacSystemFont, 'Segoe UI', Roboto, Oxygen-Sans, Ubuntu, Cantarell, 'Helvetica Neue', sans-serif;\">3: El usuario accede desde su navegador a la web que cree segura. Sin embargo, al ejecutarse el c\u00f3digo inyectado, registrar\u00e1 sus datos en la p\u00e1gina clonada. Esto compromete por completo su informaci\u00f3n personal.<\/span><\/p>\n<p style=\"text-align: justify;\"><span style=\"font-weight: 400;\">Para prevenir este tipo de ataques es imprescindible contar con <\/span><a href=\"https:\/\/www.hostdime.com.pe\/certificados-digitales-ssl\"><span style=\"font-weight: 400;\">protocolos de seguridad como SSL<\/span><\/a><span style=\"font-weight: 400;\">, que previenen la ejecuci\u00f3n de c\u00f3digos maliciosos en la web y protegen los mensajes enviados y recibidos al servidor, evitando as\u00ed que se infecten. Adem\u00e1s, si tu site tiene SSL es mucho m\u00e1s dif\u00edcil que los clientes caigan en estafas y env\u00eden sus datos a fuentes maliciosas.<\/span><\/p>\n<p>Para que no dejes de leer: <a href=\"https:\/\/www.hostdime.com.pe\/blog\/por-que-ssl-importante-seo-mi-sitio-web\/\" target=\"_blank\" rel=\"noopener\">\u00bfPor qu\u00e9 el SSL es importante para el SEO de mi sitio web?<\/a>, <a href=\"https:\/\/www.hostdime.com.pe\/blog\/puede-ssl-ser-roto-decriptado-descifrado-interceptado\/\" target=\"_blank\" rel=\"noopener\">\u00bfPuede el SSL ser roto o decriptado-descifrado o interceptado?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El XSS o Cross Site Scripting es un tipo espec\u00edfico de ciberataque mediante el cual se busca encontrar vulnerabilidades en una aplicaci\u00f3n web para introducir un script da\u00f1ino y atacar el sistema, utilizando un contexto v\u00e1lido y confiable para el [&hellip;]<\/p>\n","protected":false},"author":6,"featured_media":2197,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[31,9],"tags":[],"class_list":["post-2121","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad-web","category-tecnologia"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/posts\/2121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/comments?post=2121"}],"version-history":[{"count":0,"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/posts\/2121\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/media\/2197"}],"wp:attachment":[{"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/media?parent=2121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/categories?post=2121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostdime.com.pe\/blog\/wp-json\/wp\/v2\/tags?post=2121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}