Las vulnerabilidades por Cross Site Scripting (CSS ó XSS) continúan siendo grandes desconocidas, no sólo para el público en general, sino también para muchos periodistas especializados y no pocos informáticos.

Y no es extraño. Desde su denominación -muy poco “pegadiza” para usuarios comunes- a su peculiar comportamiento (una vulnerabilidad en un servidor, explotable desde otro, pero cuya víctima no es -al menos en principio- el propio servidor, sino el usuario del primero de los dos), todo parece destinado a que este problema, que afecta a entre el 70 y el 90% de los servidores web (o quizás a todos), pase casi desapercibido…

Quizás por eso gravísimos episodios recientes -como la vulnerabilidad en un plugin PDF- han pasado casi sin pena ni gloria, cuando cabe apostar porque un porcentaje muy elevado de usuarios continúa a día de hoy siendo totalmente vulnerable a su explotación malintencionada.

También hace poco se ha dado la curiosa situación de quien afirma haber hallado una vulnerabilidad XSS en el servidor de un importante diario nacional y se lamenta de no haber recibido respuesta, al tiempo que reconoce desconocer las consecuencias prácticas de su hallazgo.

Pues bien; con independencia de que el hallazgo sea o no real, en estos casos siempre cabe esperar poco entusiasmo por parte de los responsables del web “afectado”, y ello por dos razones fundamentales: 1) Hay quien afirma que todos los webs tienen alguna vulnerabilidad XSS y sólo hay que saber encontrarla, y 2) la víctima potencial no es el servidor, sino el usuario.

El peligro de XSS es que se trata de un tema muy bien conocido y estudiado por los atacantes maliciosos, que disponen así de un modo casi perfecto de someter el navegador de los usuarios desprevenidos y hacerlo además en un contexto ajeno: el del servidor intermediario.

La solución de este espinoso tema (suponiendo que exista) cae fundamentalmente del lado de los desarrolladores de aplicaciones web, que han de continuar perfeccionando el tratamiento de las entradas de usuario.

El sitio ha.ckers.org es uno de los que mejor y más en profundidad viene tratando las vulnerabilidades XSS. Dispone incluso de una especie de “chuleta“, permanentemente actualizada, que recoge decenas de cadenas de ataque y los navegadores sobre los que funcionan.

Entre los intentos de solución, uno de hoy mismo. Anurag Agarwal está sometiendo a prueba un nuevo filtro sobre el que descargaría la responsabilidad de filtrar todas las entradas de un sitio web, liberando así al programador de filtrarlas una por una.

En la línea de nuestros experimentos con gaseosa, Agarwal ha habilitado una página de prueba, desde la que es posible interactuar con su filtro a base de someterlo a todo tipo de cadenas de ataque.

Fuente: http://www.kriptopolis.org/xss-el-gran-desconocido