Inyecciones HTML (XSS) - I

Ya --en post anteriores-- habíamos hecho un profundo análisis de lo que eran las inyecciones SQL...
y qué eran?
Era ni más ni menos que incluir nuestro código SQL en las consultas SQL que se hacían en las aplicaciones web.
La intención de estas inyecciones, eran obviamente causar estragos, daños, robar información...
en fin actos vandálicos para perjudicar y/o obtener algo.
Eso es lo que nosotros revisamos con ejemplos y todo. Fin del tema.

En esta ocasión hablaremos de otra poderosa e importante manera de robar información: Inyecciones HTML (Cross site scripting, CSS o XSS).
Pero, qué son las benditas inyecciones HTML?
Una inyección HTML es una forma de ataque que se realiza contra un sitio web, mejor dicho contra una página web, que consiste en incluir código de un lenguaje script como vbscript, javascript, etc... en determinadas áreas en donde el usuario ingresará algunos datos... como su nombre tarjeta de crédito, etc.

Hmmm, aún no entiendo...
Mejor un ejemplo cierto?
Cuántas veces, diariamente, llegan a nuestro correo mensajes desconocidos...
comunicándonos falsamente que ganamos $200, o que nuestra cuenta de tal banco está con problemas y que necesitan que confirmemos algunos datos, o que tu abuelita dio a luz, o que tu perro se casó con tu pato, en fin....

Pero nosotros astutamente miramos de pies a cabezas esos correos y decimos: es falso!! y pank ...lo eliminamos.
Y por qué lo eliminamos? porque diestramente pasas el cursor sobre el link y dices: qué pendejo!! esto es un fraude.
Claro, tú lo borras porque el enlace no corresponde con lo que dice el mensaje... y todo orgullosos dices: A MI ME LA QUIEREN HACER!! TAN WONES NO??

Claro, si vieras que el link corresponde con el mensaje, ahí sí harías click no?? claro pe' ...ahí sí.

Te jodiste, ahí te la hacían ah?? caías como un manso cordero.. víctima del XSS.

En la próxima entrega les explico cómo se hace eso.Saludos.
Inyecciones HTML (XSS) - i
Inyecciones HTML (XSS) - ii
Inyecciones HTML (XSS) - iii
Inyecciones HTML (XSS) - iv