Esta página contiene información sobre el problema de seguridad de Cross Site Scripting, cómo afecta a Apache y cómo protegerse adecuadamente cuando se utilizan tecnologías relacionadas con Apache.

Para obtener una descripción general del problema, consulte el Aviso CERT CA-2000-02 que se ha publicado sobre el problema. También debe revisar su documento de consejos técnicos Comprensión de la mitigación de contenido malicioso para desarrolladores web. El aviso de CERT también contiene enlaces a una serie de documentos que Microsoft ha publicado sobre el problema que también vale la pena revisar si este problema lo afecta. La información contenida en estos documentos no se repetirá aquí; esta información asume que ha leído estos documentos y está familiarizado con el problema

Nos gustaría enfatizar que este no es un ataque contra ningún error específico en una pieza específica de software. No es un problema de Apache. No es un problema de Microsoft. No es un problema de Netscape. De hecho, ni siquiera es un problema que pueda definirse claramente como un problema del servidor o un problema del cliente. Es un problema que es verdaderamente multiplataforma y es el resultado de interacciones imprevistas e inesperadas entre varios componentes de un conjunto de sistemas complejos interconectados.

Hay errores específicos en una amplia gama de productos de servidores web, incluido Apache, que permiten o contribuyen a la explotación de este problema de seguridad. Estos errores no deberían estar allí y deben corregirse. Pero es fundamental darse cuenta de que esto es solo una pequeña parte del problema total. El problema más serio está en todo el código específico del sitio que genera contenido dinámico. Le brindamos esta información para educarlo sobre los problemas que se han descubierto en Apache que están relacionados con este problema de seguridad pero, lo que es más importante, para ayudarlo a educarlo sobre cómo esto puede afectar su propio código local desarrollado con tecnologías relacionadas con Apache y cómo usted puede arreglarlo

No existe un parche "bala de oro"que los proveedores de servidores o clientes puedan lanzar que solucione mágicamente este problema en todos los servidores web o clientes que usan ese producto.


También nos gustaría señalar que es importante comprender que este no es el problema antiguo y bien conocido, que si un sitio permite que el usuario A envíe contenido que es visto por el usuario B, debe estar codificado correctamente. Esta vulnerabilidad ocurre cuando el contenido es enviado y visto estrictamente por el usuario A. Debido a la dificultad de codificar correctamente la salida en todas las situaciones, muchos sitios no se preocupan por codificar los datos que solo se muestran al usuario que envió los datos en su solicitud. debido a la suposición errónea de que esto no representa una amenaza para la seguridad

¿Afecta esto a mi sitio web?

Este es un problema de seguridad grave, con implicaciones potenciales que apenas comienzan a entenderse. Sin embargo, es fundamental darse cuenta de que este problema no expone ninguna forma de acceder al servidor en sí. Lo que permite es que los atacantes malintencionados tomen potencialmente el control de la interacción entre un usuario y un sitio web. Si su sitio web contiene contenido completamente estático con toda la información accesible, un atacante puede ganar muy poco si se hace cargo de esta interacción. Es probable que lo más grave que un atacante pueda hacer potencialmente en esta situación sea cambiar la forma en que una página se muestra a un usuario en particular.

Los sitios donde esto representa el mayor peligro potencial son sitios donde los usuarios tienen algún tipo de cuenta o inicio de sesión y donde pueden realizar acciones con implicaciones del mundo real o acceder a datos que no deberían estar disponibles. Este problema de seguridad representa una seria amenaza para dichos sitios; no es necesario ingresar al servidor para tomar el control de un sitio si, en cambio, puede obtener acceso al final del usuario

Ok, ¿dónde está la información relacionada con Apache?
âÃÂâ Apache 1.3.12, que brinda cierta protección contra ciertos casos de este problema

Parche antiguo de Apache contra 1.3.11 que solucionó los problemas conocidos en esa versión de Apache

âÃÂâ Página de ejemplos de codificación, que describe cómo codificar correctamente su salida para protegerse contra este problema utilizando tecnologías comunes relacionadas con Apache, como módulos de Apache, Perl y PHP

No esperamos que esta sea la última palabra sobre los métodos para explotar este problema. Es probable que haya más cambios en Apache en el futuro para ayudar a los usuarios a lidiar con este problema, incluso si no se encuentran más errores en Apache. Aunque proporcionamos la mayor parte de la información necesaria para que los sitios se protejan contra este tipo de ataque, todavía hay muchos problemas abiertos asociados con este problema.

Somos conscientes de que se trata de un problema complejo y esperamos actualizar estas páginas para describir los problemas y las soluciones con más profundidad a medida que el tiempo lo permita.

¿Por qué el nombre "Cross Site Scripting"?

Este problema no se trata solo de secuencias de comandos, y no hay necesariamente nada entre sitios al respecto. Entonces, ¿por qué el nombre? Se acuñó antes, cuando el problema se entendía menos, y se mantuvo. Créanme, hemos tenido cosas más importantes que hacer que pensar en un nombre mejor.


Puede enviar cualquier comentario o sugerencia sobre este conjunto de páginas a [email protected]. Tenga en cuenta que no puedo responder a preguntas o solicitudes de asistencia, así que si eso es lo que está a punto de enviar, ahórrese el esfuerzo.