El cross-site scripting, comúnmente conocido como XSS, es uno de esos términos de seguridad web que quizás hayas escuchado a menudo, pero que rara vez se explican con claridad. Se trata de una vulnerabilidad que permite a los atacantes inyectar código malicioso en sitios web de confianza, que luego se ejecuta en el navegador del usuario sin que este se dé cuenta.
En esta guía, explicaremos qué es el cross-site scripting, cómo funcionan los ataques XSS y por qué siguen siendo un problema de seguridad común hoy en día. También aprenderá sobre los diferentes tipos de XSS, ejemplos reales de cómo se ha explotado y las medidas prácticas que los desarrolladores y las empresas pueden tomar para prevenirlo.
¿Qué es el script entre sitios (XSS)?
El cross-site scripting (XSS) es una vulnerabilidad de seguridad web que permite a los atacantes ejecutar su propio código en el navegador de otra persona. Esto ocurre cuando un sitio web acepta la entrada del usuario y la devuelve a la página sin revisarla ni limpiarla previamente. Dado que el código parece provenir de un sitio confiable, el navegador lo considera seguro y lo ejecuta.
El problema no es el navegador en sí, sino la confianza que deposita en los sitios web. Cuando se abusa de esa confianza, un atacante puede usar XSS para, por ejemplo, acceder a datos de sesión, realizar acciones en nombre del usuario o redirigirlo a páginas maliciosas. En pocas palabras, XSS rompe la barrera entre un sitio web y sus usuarios al permitir que el código no confiable actúe como si perteneciera a ese sitio.
¿Cómo funciona un ataque XSS?
En esencia, XSS funciona introduciendo código malicioso en un lugar donde un sitio web espera la entrada normal del usuario. El ataque no se basa en irrumpir en un servidor ni en explotar el navegador, sino que aprovecha la forma en que los sitios web gestionan y muestran los datos.
Así es como se ve un ataque XSS típico:
- Un atacante envía una entrada: el atacante coloca código dañino en un campo o enlace que el sitio web acepta, como un cuadro de búsqueda, un formulario o un parámetro de URL.
- El sitio web lo muestra de forma insegura: si el sitio no maneja adecuadamente esa entrada antes de mostrarla, el código puede incluirse en la página como si fuera contenido normal.
- Un usuario carga la página: cuando alguien abre la página afectada o hace clic en el enlace, su navegador lo carga desde un sitio en el que confía.
- El código se ejecuta en el navegador: como parece ser parte de una página confiable, el navegador lo ejecuta, lo que permite que el script interactúe con la página de formas no deseadas.
Tipos de secuencias de comandos entre sitios
No todos los ataques XSS funcionan de la misma manera. La diferencia clave radica en dónde se aloja el código malicioso y cómo llega al navegador del usuario. Los tres tipos más comunes se describen a continuación:
XSS reflejado
El XSS reflejado se produce cuando se envía información maliciosa a un sitio web y se devuelve inmediatamente en la respuesta. Esto suele ocurrir a través de enlaces, consultas de búsqueda o envíos de formularios. Cuando un usuario hace clic en un enlace creado específicamente o envía cierta información, el sitio lo refleja sin procesarlo de forma segura, lo que provoca que el navegador ejecute el código inyectado.
XSS almacenado
El XSS almacenado se produce cuando un sitio web guarda código malicioso, a menudo en lugares como secciones de comentarios, perfiles de usuario o foros de mensajes. Cada vez que alguien visita la página afectada, su navegador carga y ejecuta ese código, lo que lo hace especialmente peligroso, ya que puede afectar a muchos usuarios con el tiempo.
XSS basado en DOM
El XSS basado en DOM ocurre completamente en el navegador. En lugar de que los datos inseguros provengan de la respuesta del servidor, el problema surge cuando el propio JavaScript de un sitio web toma datos controlados por el usuario y los inserta en la página sin el manejo adecuado. Es posible que el servidor nunca detecte la entrada maliciosa, pero el navegador la ejecuta de todos modos.
Ejemplos reales de ataques XSS
En el pasado han aparecido vulnerabilidades XSS en plataformas reales, lo que demuestra con qué facilidad se puede propagar un código malicioso cuando la entrada no se maneja de forma segura:
MySpace (2005)
Uno de los incidentes de XSS almacenados más conocidos ocurrió en MySpace en 2005. Una vulnerabilidad XSS en las páginas de perfil permitía a un usuario almacenar JavaScript malicioso que se añadía automáticamente a los perfiles de otros usuarios al verlos. Dado que el código se guardaba en el sitio y se ejecutaba cada vez que se cargaba un perfil, se propagó rápidamente por la plataforma, afectando a millones de personas.
eBay (2014)
Investigadores de seguridad identificaron vulnerabilidades XSS reflejadas en eBay, donde se inyectaba JavaScript malicioso mediante URLs especialmente diseñadas. Al hacer clic en estos enlaces, el código inyectado se reflejaba en la respuesta de la página y se ejecutaba en su navegador. El problema se abusaba con frecuencia para redirigir a los usuarios a páginas de phishing sin almacenar código malicioso en los servidores de eBay.
Cómo prevenir los scripts entre sitios
Prevenir XSS depende de cómo un sitio web gestiona los datos controlados por el usuario en cada etapa. No existe una única solución, sino un conjunto de prácticas que funcionan en conjunto para evitar que la información no confiable se convierta en código ejecutable:
Evite permitir HTML sin formato en la entrada del usuario
Una forma eficaz de limitar el riesgo de XSS es evitar que los usuarios envíen HTML sin formato mediante formularios. Cuando se necesita contenido enriquecido, se pueden usar alternativas como Markdown o editores WYSIWYG cuidadosamente configurados para controlar el marcado permitido. Esto reduce la probabilidad de que se incrusten y guarden scripts maliciosos.
Validar la entrada del usuario
La validación de entrada garantiza que los datos enviados por los usuarios coincidan con lo que la aplicación espera. Por ejemplo, un campo para apellidos solo debe aceptar caracteres apropiados. Las reglas de validación también pueden rechazar entradas que contengan etiquetas inesperadas o caracteres comúnmente utilizados en la inyección de scripts, lo que ayuda a detener datos maliciosos de forma temprana.
Desinfecte los datos antes de mostrarlos
La desinfección elimina o neutraliza los elementos inseguros de la entrada del usuario antes de que se muestren a otros. Incluso si los datos pasan la validación, la desinfección antes de su salida añade una capa adicional de protección al filtrar scripts o marcado que podrían interpretarse como código ejecutable.
Codificar la salida correctamente
La codificación de salida es una de las defensas más importantes contra XSS. En lugar de confiar en los datos almacenados o procesados, las aplicaciones deberían codificar la entrada del usuario en el punto donde se muestra. De esta forma, los caracteres especiales se tratan como texto en lugar de código, lo que impide la ejecución de scripts en el navegador.
Utilice la Política de seguridad de contenido (CSP)
Una Política de Seguridad de Contenido ayuda a limitar el daño que XSS puede causar al restringir desde dónde se permite la carga de scripts y si se pueden ejecutar scripts en línea. Incluso si existe una vulnerabilidad XSS, la CSP puede impedir que los scripts inyectados se ejecuten o accedan a recursos confidenciales.
Aplicar configuración segura de cookies
Las cookies deben configurarse con atributos de seguridad que reduzcan su exposición a XSS. El uso del indicador HttpOnly impide que JavaScript acceda a las cookies, mientras que el indicador Secure garantiza que las cookies solo se envíen mediante HTTPS. El atributo SameSite puede limitar aún más cómo se comparten las cookies entre las solicitudes.
Manejar actualizaciones DOM de forma segura
Para reducir el riesgo de XSS basado en DOM, JavaScript del lado del cliente debe evitar insertar datos controlados por el usuario directamente en la página como HTML. El uso de API más seguras y la garantía de que los datos se traten como texto en lugar de marcado ayudan a evitar que los scripts se ejecuten completamente dentro del navegador.
Prueba y detección de XSS
Las pruebas de XSS se centran en identificar los lugares donde los datos controlados por el usuario se gestionan de forma insegura. El objetivo no es solo detectar problemas obvios, sino también detectar patrones que podrían permitir la ejecución de scripts maliciosos en un navegador:
Revisar cómo se maneja y se muestra la entrada
Una de las maneras más efectivas de detectar riesgos XSS es mediante revisiones de código que se centran en cómo fluye la entrada del usuario a través de una aplicación. Cualquier lugar donde se acepten datos de los usuarios y se muestren posteriormente en una página debe examinarse para garantizar que la validación, la limpieza y la codificación de salida sean correctas.
Utilice pruebas de seguridad automatizadas
Las herramientas de pruebas de seguridad automatizadas pueden ayudar a analizar las aplicaciones en busca de patrones XSS comunes, como el manejo inseguro de entradas o la falta de codificación de salida. Estas herramientas son útiles para detectar problemas conocidos de forma temprana, especialmente en bases de código extensas o que se actualizan con frecuencia, pero funcionan mejor cuando se combinan con la revisión manual.
Pruebas durante el desarrollo y actualizaciones
Las vulnerabilidades XSS suelen aparecer al añadir nuevas funciones o modificar las existentes. Realizar pruebas de XSS como parte de los ciclos regulares de desarrollo y lanzamiento ayuda a identificar y solucionar problemas antes de que lleguen a producción, lo que reduce el riesgo de que los problemas se expongan a los usuarios.
Preguntas frecuentes
El cross-site scripting, o XSS, se refiere a una vulnerabilidad de seguridad que permite la ejecución de código no confiable en el navegador de un usuario a través de un sitio web confiable. Suele ocurrir cuando un sitio acepta la entrada del usuario y la muestra sin procesarla de forma segura, lo que provoca que el navegador trate el contenido malicioso como código legítimo.
JavaScript es fundamental para el funcionamiento de los sitios web modernos, por lo que suele estar involucrado en ataques XSS. Dado que los navegadores ejecutan automáticamente el JavaScript incluido en las páginas web, los atacantes se centran en las vulnerabilidades que permiten que sus scripts se consideren parte de la funcionalidad normal de un sitio.
Los tres tipos principales de XSS son el XSS reflejado, el XSS almacenado y el XSS basado en DOM. Se diferencian según dónde se introduce el código malicioso y cómo llega al navegador, pero los tres dan lugar a scripts no confiables que se ejecutan en un contexto de navegación confiable.
XSS sigue siendo una de las vulnerabilidades de aplicaciones web más comúnmente reportadas. Aparece con frecuencia en evaluaciones de seguridad y divulgaciones de vulnerabilidades porque muchos sitios web dependen en gran medida de la información del usuario, e incluso pequeños errores de manejo pueden generar riesgos de XSS si no se abordan adecuadamente.
Prevenir XSS implica gestionar de forma segura los datos controlados por el usuario en cada etapa. Esto se puede lograr validando y depurando la entrada, codificando la salida antes de mostrarla, aplicando protecciones del navegador como la Política de Seguridad de Contenido (CSP) y evitando patrones de scripting inseguros del lado del cliente que permiten la ejecución de datos no confiables como código.