Hola, les decía en el anterior post que... sí había forma de que roben tu información y de que te logren engañar con el XSS.
Cómo así?
Es que el XSS opera sobre el sitio web original. No sobre dominios desconocidos.
Quiero decir que sería posible que un día te llegue un correo de Microsoft comunicándote que acabas de ganar el premio mayor del Imagecup (por poner un ejemplo) y, que lo único que tienes que hacer es confirmar tus datos accediendo al link que te adjuntan.
Nuevamente, tú astutamente pasas el mouse sobre el link y... diablos ¡Es cierto! es de Microsoft ese link... es una dirección web de microsoft...YEEEEEE!!! he ganado!!! gané!! gané!! mamá, papá abuela, por fin compraremos el terrenito en las Casuarinas!!!
uuuuuuuuuuun momento... pero si yo nunca participé!!... hmmm... se habrán confundido?? sí, eso debe ser...
no importa, cobraré el premio y, la culpa es de ellos... no les dolerá perder unos miles de dólarillos, verdad?
y pink... presionas el link y vas a la página web para confirmar tus datos y, confirmas tus datos y,(música melancólica) se jodió todo... le estás dando tus datos a los amigos de lo ajeno.
y pink... presionas el link y vas a la página web para confirmar tus datos y, confirmas tus datos y,(música melancólica) se jodió todo... le estás dando tus datos a los amigos de lo ajeno.
Acabas de ser una víctima del XSS.
Tú me dirás... en qué momento me pueden haber robado la información? si el link era de Microsoft?
Verás...(para esto hay que saber un poquito de HTML y un poquito de javascript)
Muchos sitios web le dan al usuario la opción de ingresar data en un formulario y, según esa data, devuelven una respuesta.
Ejemplo: si tú escribes XXX, el resultado podría ser "Bienvenido XXX", me entiendes?
Esto puede parecer una cosa inofensiva, pero no lo es: es el punto de entrada para los XSS...
Imagina que el usuario en lugar de escribir XXX... escribe 
... entonces, como el browser reconoce el javascript generará un mensaje javascript que dirá "Habla sanazo!!" vamos bien?
Otro ejemplito: está intentando loguearte en un sitio web y, no recuerdas tu password... y por cada intento que haces, se muestra un texto en rojo en la página que dice: "la contraseña ZZZ es incorrecta, inténtalo de nuevo".
Otro ejemplito: está intentando loguearte en un sitio web y, no recuerdas tu password... y por cada intento que haces, se muestra un texto en rojo en la página que dice: "la contraseña ZZZ es incorrecta, inténtalo de nuevo".
Has fracasado en tus 80 intentos de ingresar al sitio web, y no lograste ingresar, pero te has dado cuenta de algo...verdad?
La seguimos en la próxima.
Inyecciones HTML (XSS) - ii
Chau.
No hay comentarios.:
Publicar un comentario