Report-uri.io – Descubre las vulnerabilidades de tu sitio web al instante ¡y gratis!

0

Los ataques a sitios web están hoy en día muy extendidos. De entre ellos destaca el XSS o Cross Site Scripting, que permite a un hacker introducir código malicioso en una web si ser detectado.

Report-uri.io nos permite conocer posibles ataques a nuestro sitio web en tiempo real

Estos ataques podrían permitir al atacante acceder a nuestra cuenta de superusuario si estamos conectados con ella, así como infectar la máquina y a nuestros clientes o visitantes.

Por ejemplo, ebay sufrió un caso de ataque XSS en 2014 que redirigía a las víctimas a una página Phishing, destinada a robar sus cuentas (nombre y password). Eso ocurriría fácilmente si hubiera usuarios conectados a su cuenta en dicho momento.

Tomando medidas

Podemos defendernos ante los inyectores de código y exploits, para empezar, impidiendo que otros recursos como las imágenes sean cargadas en nuestra web.

También podemos mitigar estos posibles ataques utilizando una característica de los navegadores conocida como CSP. Un informe CSP respecto a un recurso web alertaría de una página infectada.

Content Security Police: función del navegador que puede definir una lista blanca de fuentes confiables para los recursos cargados desde las webs.

Report uri

Con este reto en mente se ha lanzado un sitio web que, de forma gratuita, nos ofrece informes CSP y HTTP Public Key Pinning (HPKP), otra función de seguridad incorporada en los navegadores.

Ataque XSS

El HPKP permite a un host definir una lista blanca de identidades criptográficas que el navegador puede usar de forma segura. Podemos adjuntar una lista de huellas digitales (fingerprints) válidas para los certificados que el navegador debería ceptar. Cualquier otro certificado, por muy válido que fuese, sería rechazado.

Ambas tecnologías mejoran en gran medida la seguridad de nuestro sitio web y protegen a quienes nos visitan (que al final es lo que más importa) forzando a sus navegadores a que cumplan determinados requisitos. El problema es que sin la llegada de un reporte es difícil de saber si estas políticas realmente se cumplen.

Si sufrimos un ataque XSS, el mecanismo CSP forzará al navegador a tomar la acción de bloquear el recurso, pero sin saber nada acerca de él, el host no puede solucionar el problema. Esto quiere decir, en cristiano, que el XSS continuaría y los visitantes sin la tecnología CSP compatible en su navegador serían víctimas de un ataque.

La solución

La web report-uri.io anteriormente mencionada llega para cubrir ese vacío. Podemos comprobar allí las violaciones de seguridad que ocurren en nuestro sitio wen tiempo real, lo que nos permite empezar a investigar.

Report-uri.io nos permite conocer posibles ataques a nuestro sitio web en tiempo real

Report-uri.io nos permite conocer posibles ataques a nuestro sitio web en tiempo real

 

Compartir.

Sobre el Autor

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR