Acrónimos: XSS
Ver:
Estado de vulnerabilidad que se crea por métodos de codificación poco seguros, y que tiene como resultado una validación de entradas inapropiada. Suele utilizarse junto con CSRF o inyección SQL.
http://es.pcisecuritystandards.org
Secuencias de comandos en sitios cruzados (Cross-site Scripting) es una brecha de seguridad que se produce en páginas Web generadas dinámicamente. En un ataque por XSS, una aplicación Web se envía con un script que se activa cuando lo lee el navegador de un usuario o una aplicación vulnerable. Dado que los sitios dinámicos dependen de la interacción del usuario, es posible ingresar un script malicioso en la página, ocultándolo entre solicitudes legítimas. Los puntos de entrada comunes incluyen buscadores, foros, blogs y todo tipo de formularios en línea en general. Una vez iniciado el XSS, el atacante puede cambiar configuraciones de usuarios, secuestrar cuentas, envenenar cookies, exponer conexiones SSL, acceder sitios restringidos y hasta instalar publicidad en el sitio víctima.
http://www.inteco.es/glossary/Formacion/Glosario/
Es una brecha de seguridad que se produce en páginas Web generadas dinámicamente. En un ataque por XSS, una aplicación Web se envía con un "script" que se activa cuando lo lee el navegador de un usuario o una aplicación vulnerable. Dado que los sitios dinámicos dependen de la interacción del usuario, es posible ingresar un "script" malicioso en la página, ocultándolo entre solicitudes legítimas. Los puntos de entrada comunes incluyen buscadores, foros, "blogs" y todo tipo de formularios "online" en general. Una vez iniciado el XSS, el atacante puede cambiar configuraciones de usuarios, secuestrar cuentas, envenenar "cookies", exponer conexiones SSL, acceder sitios restringidos y hasta instalar publicidad en el sitio víctima.
http://www.alerta-antivirus.es/seguridad/ver_pag.html?tema=S
Esta falla permite a un atacante introducir en el campo de un formulario o código embebido en una página, un "script" (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado.
http://www.vsantivirus.com/vul-webcamxp.htm
A vulnerability that allows attackers to inject malicious code into an otherwise benign website. These scripts acquire the permissions of scripts generated by the target website and can therefore compromise the confidentiality and integrity of data transfers between the website and client. Websites are vulnerable if they display user supplied data from requests or forms without sanitizing the data so that it is not executable. [NIST-SP800-63:2013]
https://www.pcisecuritystandards.org/security_standards/glossary.php
A type of
injection, in which malicious scripts are injected into otherwise benign and
trusted web sites
Scope Note:
Cross-site scripting (XSS) attacks occur when an attacker uses a web
application to send malicious code, generally in the form of a browser side
script, to a different end user. Flaws that allow these attacks to succeed are
quite widespread and occur anywhere a web application uses input from a user
within the output it generates without validating or encodingit. (OWASP)
ISACA,
Cybersecurity Glossary, 2014
Is a type of
computer security vulnerability typically found in web applications which allow
code injection by malicious web users into the web pages viewed by other users.
Examples of such code include HTML code and client-side scripts. An exploited
cross-site scripting vulnerability can be used by attackers to bypass access
controls such as the same origin policy.
http://en.wikipedia.org/wiki/XSS
An attack
technique that forces a web site to echo client-supplied data, which execute in
a users web browser. When a user is Cross-Site Scripted, the attacker will have
access to all web browser content (cookies, history, application version, etc).
http://www.webappsec.org/projects/glossary/
Vulnérabilité qui est
créée par des techniques de codage non sécurisées, ce qui provoque la
validation dune entrée incorrecte. Souvent utilisées avec une injection CSRF
et/ou SQL.
http://fr.pcisecuritystandards.org/
Temas relacionados