¿Qué es el XSS reflejado?

| Última modificación: 24 de mayo de 2024 | Tiempo de Lectura: 2 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes qué es el XSS reflejado y cómo se utiliza en ciberataques web?

El hacking web es uno de los servicios más utilizados en ciberseguridad, ya que millones de compañías utilizan páginas web para conectarse con sus clientes y empleados. Gracias al avance de la tecnología, el uso de aplicaciones web se ha disparado y, asimismo, los servicios de ciberseguridad que se especializan en ellas.

Para hacer un test de penetración web, es necesario conocer las principales vulnerabilidades y vías de ataque que existen para hackear una aplicación. Una buena guía es la lista de OWASP Top 10, que incluye los diez ciberataques más utilizados en entornos web. Aprender cómo funcionan estos ataques es clave para auditar la seguridad de una página.

Dentro de estos diez ataques, la inyección de código malicioso en páginas web ocupa el tercer lugar. Existen diferentes métodos para lograr este efecto y uno de ellos es el cross-site scripting o XSS, que permite ejecutar comandos de JavaScript en el navegador de una víctima al acceder a una aplicación.

En este post, hablaremos sobre uno de los tipos de cross-site scripting más utilizados por hackers maliciosos. A continuación, te explicaremos qué es el XSS reflejado y qué consecuencias puede tener para sus víctimas.

¿Qué es el XSS reflejado?

El XSS reflejado es un tipo de cross-site scripting que se basa en aprovechar entradas vulnerables de la página para ejecutar código malicioso en el navegador de una víctima. El término reflejado se refiere a que el payload solamente se ejecuta en el navegador de quien visita el sitio por medio de una URL determinada, la cual lleva incrustado el código a inyectar.

En el tipo de XSS reflejado, el código malicioso no se ejecuta en el navegador de todos los que visiten una página vulnerable. Para que el efecto se produzca, es necesario que la víctima abra una dirección URL modificada por el atacante.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Las vulnerabilidades de XSS reflejado suelen encontrarse en sitios web que imprimen en pantalla los datos ingresados por un cliente. Por ejemplo, si imprime en pantalla en nombre del usuario, después de que este lo ingrese en un campo de la plataforma.

Lo anterior es una vulnerabilidad que permite ejecutar código en el navegador por medio de la aplicación. Para verificar si es posible ejecutar código de este modo, primero se deben enviar pruebas, como comandos para ejecutar letreros de alerta en la pantalla. Una vez se verifique que el fallo existe, se observa cómo se modifica la URL al ejecutar cualquier comando o valor de entrada.

Después, se incrusta el payload directamente en una nueva dirección URL, que al abrirse ejecutará automáticamente el código malicioso en el navegador. De este modo, al saber qué es el XSS reflejado y cómo ejecutarlo, se puede robar diversa información, como la contraseña, el nombre de usuario o el token de sesión del cliente, para suplantar su identidad en la página.

Ahora ya sabes qué es el XSS reflejado, pero aún queda mucho por aprender. Si quieres dominar este ataque para ejecutarlo con fines éticos, te interesará el Ciberseguridad Full Stack Bootcamp, una formación intensiva con la que te especializarás en este ámbito del mundo IT en muy pocos meses. ¡Atrévete a cambiar tu vida y solicita información!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado