Evitando XSS

Posted in XSS on junio 27, 2009 by morfemasinta

Hey, voy a intentar de explicaros que es un XSS [Cross Site Scripting] y como se pueden evitar. Si sabeis un poco de PHP entenderéis esta línea:

<? echo “<script>alert(‘hi’)</script>”;  ?> ese código lo que hace es lanzar una alerta con el texto Hi. Eso sería un XSS… y vosotros direis… ¿y eso que peligro tiene? ese código ninguno, pero sabiendo que existe un XSS se pueden robar las cookies. Aquí podeis ver un sencillo ejemplo de como se hace. Para evitar un XSS es fácil, los buscadores vulnerables a esto no filtran la busqueda, digamos que $busqueda es el lo que han buscado. Sigue leyendo