la web UNIVERSIDAD DE CARTAGENA PROGRAMA DE INGENIERIA DE SISTEMAS
Rafael Medina Ladron de Guevara | Seguridad Informatica | 10/05/2023
VULNERABILIDADES TIPO XSS
XSS (Cross-Site Scripting) es un tipo de vulnerabilidad de seguridad en la que un
atacante inyecta código malicioso en una página web visitada por otro usuario. Esto se logra a través de la inserción de código en campos de entrada de usuario, como formularios de registro, campos de búsqueda o comentarios, que luego se muestran en la página web sin la debida validación o filtrado.
El código malicioso puede ser JavaScript, HTML o cualquier otro lenguaje de
programación que pueda ejecutarse en un navegador web. El objetivo principal del ataque XSS es robar información personal o de sesión, como contraseñas, cookies o tokens de autenticación, y utilizarla para acceder a cuentas de usuario sin permiso.
VULNERABILIDAD TIPO SQL INJECTION
SQL injection es una vulnerabilidad de seguridad en la que un atacante inserta código SQL malicioso en una consulta a una base de datos a través de una entrada de usuario, como un formulario de registro o un campo de búsqueda. Si la aplicación web no valida o filtra correctamente las entradas de usuario, el código SQL inyectado puede ejecutarse y permitir al atacante manipular la base de datos y acceder a información confidencial.
IMPLEMENTACION DE MECANISMOS PARA PREVENIR
VULNERABILIDADES XSS Y SQL INJECTION: Lo mas esencial es la implementación de Firewalls Web (WAF) que constantemente validen los datos de entradas de y salida, pues a través de estos datos como son los Logins, registros, etc… es que los sistemas son susceptibles a este tipo de ataques, otro método imprescindible consiste en utilizar parámetros de consulta preparados. Estos son parámetros que son tratados como datos en lugar de consulta SQL. Esto significa que los caracteres especiales y las comillas simples que pueden ser utilizados en la inyección SQL son tratados como datos y no como código SQL