Los que seguís este blog día tras día sabréis que ayer hice una pequeña introducción a XSS (Cross Site Scripting) aunque, creo que me quedaron algunos puntos aun por explicar.Así que a sospechas de hacerme pesado, os hablaré de los 3 clases de XSS que podremos encontrar.
Cross-Site-Scripting en local:
- Se utiliza, como no, para ejecutar código remotamente con los permisos de otro usuario. Lo que deferencia a este tipo de XSS es que la ejecución de código se hace mediante de la URL pero no se toca la pagina así que cuando la victima haga click en dicha URL se ejecutara en su navegador estando la web intacta.
Cross-Site-Scripting Permatente:
- En este tipo la inyección se hace en una página estática. La información ddel usuario es almacenada en la base de datos de la pagina y se irá mostrando a los demas usuarios que visiten la pagina mostrando con ella el bonito XSS y por eso se dice que es "persistente".
Cross-Site-Scripting No Persistente:
- Es aquel XSS que se encuentra en una pagina que solo se genera cuando el usuario ha de entregar información a una aplicación. A este tipo de vulnerabilidades son vistas por los programadores de paginas web como livianos pero, una vulnerabilidad es una vulnerabilidad y alguien podría aprovecharse de ese fallo para hacer el "mal"
No hay comentarios:
Publicar un comentario