Un gusano XSS , a veces denominado virus de secuencias de comandos entre sitios , [1] es una carga útil maliciosa (o a veces no maliciosa), generalmente escrita en JavaScript , que viola la seguridad del navegador para propagarse entre los visitantes de un sitio web en el intento de infectar progresivamente a otros visitantes. [2] Se mencionaron por primera vez en 2002 en relación con una vulnerabilidad de secuencias de comandos entre sitios en Hotmail . [3]
Los gusanos XSS explotan una vulnerabilidad de seguridad conocida como cross site scripting (o XSS, por sus siglas en inglés) dentro de un sitio web, infectando a los usuarios de diversas maneras según la vulnerabilidad. Las funciones del sitio, como los perfiles y los sistemas de chat, pueden verse afectadas por gusanos XSS cuando se implementan de forma incorrecta o sin tener en cuenta la seguridad. A menudo, estos gusanos son específicos de un solo sitio web y se propagan rápidamente explotando vulnerabilidades específicas.
Las vulnerabilidades de secuencias de comandos entre sitios se explotan comúnmente en forma de gusanos en sitios web comerciales o sociales populares , como MySpace , Yahoo!, Orkut , Justin.tv , Facebook y Twitter . Estos gusanos se pueden utilizar con fines maliciosos, lo que proporciona a un atacante la base para robar información personal proporcionada al sitio web, como contraseñas o números de tarjetas de crédito.
Varios gusanos XSS han afectado a sitios web populares.
El gusano Samy, el mayor gusano XSS conocido, infectó más de un millón de perfiles de MySpace en menos de 20 horas. El autor del virus fue demandado y llegó a un acuerdo para declararse culpable de un delito grave. [4]
Justin.tv era un sitio web de transmisión de videos con una base de usuarios activos de aproximadamente 20 mil usuarios. La vulnerabilidad de secuencias de comandos entre sitios que se explotó fue que el campo de perfil "Ubicación" no se desinfectó correctamente antes de su inclusión en una página de perfil.
El campo de perfil "Ubicación" se desinfectaba cuando se incluía en el título de una página de perfil pero no dentro del campo real en el cuerpo de la página. Esto significaba que los autores del gusano, para lograr sigilo y aumentar la vida útil y la propagación del gusano, tenían que eliminar automáticamente la carga útil XSS del título de la página desde el código del gusano, que ya estaba oculto por los comentarios.
Después de un correcto desarrollo del gusano, se ejecutó aproximadamente el sábado 28 de junio de 2008 a las 21:52:33 UTC y finalizó el domingo 29 de junio de 2008 a las 21:12:21 UTC. Como el sitio web social que se estaba atacando no era particularmente activo (en comparación con otros objetivos populares de gusanos XSS), el gusano infectó un total de 2525 perfiles en aproximadamente 24 horas.
El gusano fue descubierto unas horas antes de que fuera eliminado con éxito y, según los datos que se registraron (debido a que el gusano se creó originalmente con fines de investigación), el gusano pudo infectar perfiles no infectados después de que los desarrolladores de Justin.tv los limpiaran a fondo. El gusano fue limpiado una vez más después de que se corrigiera la vulnerabilidad y se pudo eliminar fácilmente. Sin embargo, esto demuestra la capacidad del gusano para adaptarse y propagarse incluso después de un contraataque.
Otros factores particulares que se indican en los gráficos y datos publicados por los atacantes incluyen la actividad social y la falta de nuevos usuarios no infectados durante ciertos períodos de tiempo.
Orkut, un sitio de redes sociales, también fue atacado por un gusano XSS. Los usuarios infectados reciben un mensaje con las palabras "Bom Sabado" ( en portugués , "feliz sábado"). Google aún no ha hecho comentarios sobre la situación. [ cita requerida ]