El ataque de script cruzado o XSS, es un tipo de ataque de inyección de código malicioso o malware, en particular de un script, el cual se inyecta en el sitio web y se ejecuta cuando el usuario lo visita, el objetivo de este, es robar información sensible, ‘secuestrar’ la sesión del usuario, realizar otras acciones en segundo plano o desplegar anuncios con contenido pornográfico, farmacéutico o de productos milagro.
Las acciones en segundo plano, se refieren a que el script podrá realizar acciones en el sitio afectado a nombre del usuario, sin que este o el servidor se percate de ello. Un claro ejemplo de ello fue lo ocurrido en 2017 a Starbucks en una de sus cafeterías en Buenos Aires, Argentina, cuando para tener acceso al wifi gratuito que ofrecen, el usuario era forzado a visitar una página que mostraba el mensaje ‘Redirección en 10 segundos’, lo cual si se veía el código fuente de la página se observaba que justamente lo que realizaba en esos 10 segundos era minar bitcoins con el procesamiento de la computadora.
Es muy importante atender y resolver este tipo de ataques, escaneando y eliminando a la brevedad la infección del sitio web, ya que los escáneres de malware como Google Safe Browsing, Norton Safe Web, PhishTank, Opera browser, SiteAdvisor, Sucuri Malware Labs, SpamHaus DBL o ESET, por mencionar algunos, colocarán al sitio en la lista negra. Dicha lista es consultada por los navegadores web antes de cargar el contenido del sitio web y avisar al usuario que intenta acceder.
Generalmente estos scripts tienen como objetivo los datos de las peticiones iniciales que se guardan en el navegador como cookies o sesiones y son estos los que son interceptados y manipulados por estos scripts, como los navegadores no tiene la capacidad de autenticar los scripts, ejecutan todos los que se muestran, desafortunadamente entre ellos los maliciosos.
Existen 2 tipos de ataque XSS:
- Reflejado o No persistente: El código se inyecta durante el uso y carga del sitio web, utilizado en su mayoría para el ‘secuestro’, robo de sesiones, despliegue de anuncios o scripts.
- Almacenado o Persistente: El código malicioso ya se encuentra almacenado o incrustado en el archivo HTML o JS del sitio, así que se ejecuta con la carga del mismo, pudiendo pasar desapercibido por los escáneres de malware.
