¿Qué es el scripting entre sitios?

Abreviado como XSS, las secuencias de comandos entre sitios son una vulnerabilidad que permite a un atacante insertar un código malicioso (JavaScript) en una secuencia de comandos de un sitio web. Una vez que se ha encontrado que un script es vulnerable, el atacante puede enviar un correo electrónico o publicar un enlace a ese script de sitio web para atacar la computadora de un usuario.

  • Ejecutar código JavaScript.
  • Acceda a las cookies almacenadas en una computadora para obtener acceso a la cuenta de las víctimas.
  • Crea páginas de inicio de sesión falsas que roban detalles de inicio de sesión.
  • Accede a webcams y micrófonos conectados a una computadora.
  • Evite la seguridad del sitio web diseñada para protegerlo a usted y a su computadora.
  • Cree un script que haga un bucle o cause otros problemas que causen que el navegador se bloquee.
  • Ayuda a otras computadoras a realizar un ataque DDoS en otro servidor.
  • Dar la apariencia del sitio que está siendo desfigurado.
  • Ayude a distribuir correo no deseado, transferir dinero o realizar otras acciones en la cuenta de un usuario.
  • Siempre tenga cuidado con los enlaces enviados por correo electrónico y publicados en las redes sociales.
  • Nunca haga clic en un enlace para informar de ningún servicio financiero u otros sitios web confidenciales. Si su banco, tarjeta de crédito o servicio relacionado desea que haga clic en un enlace, abra su navegador e ingrese la dirección web en la barra de direcciones.
  • Familiarízate con las tácticas de phishing.
  • Cuando haya terminado con su cuenta en línea cierre la sesión.
  • Mantenga su navegador actualizado con la última versión.
  • Familiarícese con todas las formas de protegerse mientras está en Internet.
  • Siempre asuma que cualquier dato enviado a un script es malicioso.
  • Codifique, escape y desinfecte adecuadamente los datos enviados.
  • Escape una cita (") con" y una comilla simple (') con' para evitar escapar de un escape.
  • Solo acepta los datos que necesites. Por ejemplo, si un campo es para un nombre, solo acepte las letras de la A a la Z y elimine los números y otros caracteres.
  • Nunca acepte y ejecute código JavaScript desde una fuente no confiable.
  • Nunca coloque los datos aceptados en una