Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 1 vistas

    Porte Practica

    Cargado por

    DJ Mauricio

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Porte Practica

    Cargado por

    DJ Mauricio
    1 vistas4 páginas

    Título original

    porte_practica

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    1 vistas4 páginas

    Porte Practica

    Cargado por

    DJ Mauricio

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 4

    INSTITUTO TECNOLÓGICO DE

    COMITÁN
    Ingeniería en
    Sistemas computacionales
    Asignatura: ciber seguridad

    Docente: Henley

    Tema: reporte de practica

    Presenta:
    Mauricio Pérez
    Vázquez
    21700221
    Erick Osvaldo
    Aguilar Jiménez
    21700157

    Comitán de Domínguez, Chiapas; a 29 de octubre del 2024


    Marco Teórico sobre Cross-Site Scripting (XSS)

    1. Definición de XSS:

    Cross-Site Scripting (XSS) es una vulnerabilidad de seguridad web que permite a un


    atacante inyectar scripts maliciosos en páginas web vistas por otros usuarios. Esta
    técnica se basa en la ejecución de código JavaScript en el navegador del usuario, lo que
    puede llevar a la sustracción de información sensible, como cookies, credenciales de
    sesión, o cualquier dato que pueda ser accesible a través del contexto de la página
    comprometida.

    2. Tipos de XSS:

     XSS Reflejado: Ocurre cuando los scripts maliciosos son reflejados desde el
    servidor en una respuesta inmediata, generalmente a través de un enlace
    manipulado. Por ejemplo, un atacante puede enviar un enlace que contiene un
    script malicioso que se ejecuta en el navegador de la víctima al hacer clic en él.
     XSS Almacenado: Este tipo de XSS implica que el código malicioso es
    almacenado en el servidor (en bases de datos, foros, etc.) y se entrega a los
    usuarios que acceden a la página afectada. Por ejemplo, un atacante puede
    insertar un script en un comentario que luego se guarda y se muestra a otros
    usuarios.
     XSS DOM-based: Este tipo ocurre cuando la vulnerabilidad se presenta en el
    código del cliente (JavaScript) y se basa en manipulación del DOM (Document
    Object Model). La modificación del contenido del documento HTML se realiza sin
    interacción del servidor.

    3. Mecanismo de Ataque:
    El ataque XSS se basa en la falta de validación y sanitización adecuada de los datos que
    el usuario envía a una aplicación web. Cuando una aplicación web acepta entradas no
    verificadas y las devuelve sin procesarlas, un atacante puede inyectar scripts que se
    ejecutan en el contexto del navegador del usuario.

    4. Consecuencias de XSS:

     Robo de Identidad: Los atacantes pueden robar las credenciales de los usuarios
    o sus tokens de sesión, lo que les permite hacerse pasar por ellos.
     Desviación de Sesiones: Permite que un atacante secuestre una sesión activa,
    accediendo a la cuenta de un usuario sin su consentimiento.
     Distribución de Malware: Scripts maliciosos pueden redirigir a los usuarios a
    sitios web peligrosos o descargar software malicioso.
    5. Prevención de XSS:

     Validación de Entrada: Sanitizar y validar todos los datos ingresados por el


    usuario.
     Codificación de Salida: Asegurarse de que cualquier dato que se muestre en la
    web esté correctamente codificado (por ejemplo, convertir caracteres especiales
    a su equivalente HTML).
     Uso de Cabeceras de Seguridad: Implementar cabeceras HTTP como Content
    Security Policy (CSP) que ayuden a prevenir la ejecución de scripts maliciosos.
     Marcos y Librerías Seguras: Utilizar marcos de desarrollo que proporcionen
    protección contra XSS, así como seguir las mejores prácticas de codificación.

    6. Herramientas de Prueba:

     Existen diversas herramientas y técnicas que permiten a los desarrolladores y


    expertos en seguridad probar y detectar vulnerabilidades XSS, como:
    o Burp Suite
    o OWASP ZAP
    o XSSer
    o BeEF (Browser Exploitation Framework)

    MATERIALES

    Código de Ejemplo:

     Un archivo HTML básico que contenga formularios o campos de entrada donde


    se puedan inyectar scripts.
     Un archivo PHP (u otro lenguaje de backend) que procese las entradas del
    usuario y las muestre en la página sin la debida sanitización.

    Navegador Web:

     Un navegador web (como Chrome, Firefox, o Edge) para realizar las pruebas.
    También es útil tener herramientas de desarrollo (DevTools) integradas en el
    navegador.

    Herramientas de Pruebas de Seguridad:

     Burp Suite o OWASP ZAP: Estas herramientas pueden ayudarte a interceptar y


    modificar solicitudes HTTP para probar inyecciones XSS.
     XSSer o BeEF: Herramientas diseñadas específicamente para pruebas de XSS.
    Procedimiento

    1. Configuración del Entorno:


    o Instala el servidor local y asegúrate de que está funcionando correctamente.
    o Configura un proyecto básico que incluya un formulario de entrada.
    2. Desarrollo del Código:
    o Escribe el código necesario para simular un sitio web vulnerable a XSS.
    Asegúrate de no sanitizar las entradas de usuario.
    3. Ejecución de Pruebas:
    o Utiliza los navegadores y herramientas de pruebas para inyectar scripts
    maliciosos en los campos de entrada.
    o Observa cómo se comporta la aplicación y documenta los resultados.
    4. Análisis de Resultados:
    o Analiza cómo el script se ejecuta y las implicaciones de seguridad que tiene para
    el sistema.
    5. Prevención:
    o Implementa medidas de seguridad y demuestra cómo se pueden mitigar los
    riesgos asociados con XSS.

    TIPO DE ATAQUE

    Cross-Site Scripting (XSS) es un tipo de ataque de inyección. Específicamente, se clasifica


    como un ataque de inyección de código que permite a un atacante insertar scripts maliciosos
    en páginas web que son visualizadas por otros usuarios.

    Vulnerabilidad
     Falta de Validación y Sanitización de Entradas
     Inyección de Código en Salida
     Configuraciones de Seguridad Inadecuadas

    Conclusión:
    La comprensión de XSS es esencial para el desarrollo seguro de aplicaciones web. La
    implementación de medidas d
    e seguridad adecuadas y la capacitación continua en ciberseguridad son fundamentales para
    mitigar los riesgos asociados con esta vulnerabilidad.

    Link del video

    https://drive.google.com/file/d/1gwsQ3DrJKWHXSJmiQUKLahSlftlj4LLW/view?us
    p=sharing

    También podría gustarte