Report-uri.io – Descubre las vulnerabilidades de tu sitio web al instante ¡y gratis!

Los ataques a sitios web están hoy en día muy extendidos. De entre ellos destaca el XSS o Cross Site Scripting, que permite a un hacker introducir código malicioso en una web si ser detectado.

Report-uri.io nos permite conocer posibles ataques a nuestro sitio web en tiempo real

Estos ataques podrían permitir al atacante acceder a nuestra cuenta de superusuario si estamos conectados con ella, así como infectar la máquina y a nuestros clientes o visitantes.

Por ejemplo, ebay sufrió un caso de ataque XSS en 2014 que redirigía a las víctimas a una página Phishing, destinada a robar sus cuentas (nombre y password). Eso ocurriría fácilmente si hubiera usuarios conectados a su cuenta en dicho momento.

Tomando medidas

Podemos defendernos ante los inyectores de código y exploits, para empezar, impidiendo que otros recursos como las imágenes sean cargadas en nuestra web.

También podemos mitigar estos posibles ataques utilizando una característica de los navegadores conocida como CSP. Un informe CSP respecto a un recurso web alertaría de una página infectada.

Content Security Police: función del navegador que puede definir una lista blanca de fuentes confiables para los recursos cargados desde las webs.

Report uri

Con este reto en mente se ha lanzado un sitio web que, de forma gratuita, nos ofrece informes CSP y HTTP Public Key Pinning (HPKP), otra función de seguridad incorporada en los navegadores.

Ataque XSS

El HPKP permite a un host definir una lista blanca de identidades criptográficas que el navegador puede usar de forma segura. Podemos adjuntar una lista de huellas digitales (fingerprints) válidas para los certificados que el navegador debería ceptar. Cualquier otro certificado, por muy válido que fuese, sería rechazado.

[pullquote]Esto protege a los visitantes frente a los temidos ataques MiTM o Man in The Middle. Desplegados vía respuesta de cabecera HTTP, las tecnologías CSP y HPKP puede establecerse con relativa facilidad, pero puede ser complicado de contrastar.[/pullquote]

Ambas tecnologías mejoran en gran medida la seguridad de nuestro sitio web y protegen a quienes nos visitan (que al final es lo que más importa) forzando a sus navegadores a que cumplan determinados requisitos. El problema es que sin la llegada de un reporte es difícil de saber si estas políticas realmente se cumplen.

Si sufrimos un ataque XSS, el mecanismo CSP forzará al navegador a tomar la acción de bloquear el recurso, pero sin saber nada acerca de él, el host no puede solucionar el problema. Esto quiere decir, en cristiano, que el XSS continuaría y los visitantes sin la tecnología CSP compatible en su navegador serían víctimas de un ataque.

La solución

La web report-uri.io anteriormente mencionada llega para cubrir ese vacío. Podemos comprobar allí las violaciones de seguridad que ocurren en nuestro sitio wen tiempo real, lo que nos permite empezar a investigar.

Report-uri.io nos permite conocer posibles ataques a nuestro sitio web en tiempo real
Report-uri.io nos permite conocer posibles ataques a nuestro sitio web en tiempo real