Hoy en día, JavaScript es uno de los lenguajes de programación más conocidos y establecidos que existen. JavaScript se encuentra principalmente en el código de páginas web dinámicas que permiten funcionalidades extendidas de JavaScript. Estas funcionalidades incluyen operaciones útiles como interactividad, seguimiento de las actividades del usuario y envío o validación de formularios. Aunque JavaScript generalmente se considera un lenguaje de codificación razonablemente seguro, muchos usuarios se muestran cada vez más escépticos sobre ciertos aspectos de la seguridad de JavaScript.
Muchas vulnerabilidades de JavaScript conocidas pueden afectar tanto al lado del servidor como al del cliente. Los piratas informáticos malintencionados pueden utilizar estas vulnerabilidades atravesando una serie de rutas abiertas a través de su aplicación. Al utilizar JavaScript en su aplicación, es fundamental evaluar seriamente todas las amenazas a la seguridad de JavaScript e implementar un escáner de vulnerabilidades de código abierto para encontrar estas amenazas.
Este artículo detallará dos de las posibles vulnerabilidades de seguridad de JavaScript más graves y cómo abordarlas adecuadamente.
Ataques de secuencias de comandos entre sitios (XSS): ¿qué son?
Una de las vulnerabilidades más comunes del navegador se llama “Cross-Site Scripting”. También conocidos como XSS, los ataques de secuencias de comandos entre sitios ocurren en lenguajes de secuencias de comandos del lado del cliente, como JavaScript o HTML, y manipulan un punto débil de seguridad de Internet. Al realizar un ataque XSS, los piratas informáticos pueden utilizar aplicaciones web legítimas para realizar tareas maliciosas aprovechando una vulnerabilidad.
Desafortunadamente, los ataques XSS son muy comunes y pueden resultar en el robo de datos o identidad. Estos ataques también pueden provocar la propagación del virus a través de la red al obtener el control del navegador del usuario.
Los piratas informáticos y los actores maliciosos pueden manipular las inseguridades de un sitio web. Este ataque se realiza inyectando código JavaScript en los parámetros del sitio y luego utilizando este exploit para obtener acceso a los datos del usuario. Básicamente, este código permite al hacker transferir la propiedad del ID de sesión de la víctima al hacker para tomar el control del navegador.
¿Cómo puede ser prevenido?
Hay varias formas de garantizar que su JavaScript esté seguro y protegido:
- Primero, debe filtrar todas las entradas a medida que llegan. Esto significa que cada vez que un usuario proporciona información, debe haber un filtro estricto para compararla con lo que generalmente se supone que es una entrada válida.
- Utilice encabezados de respuesta apropiados y eficaces. Para evitar un ataque XSS desde HTTP a partir de respuestas que se supone que contienen HTML, es posible utilizar X-Content-Type-Options o la opción Content-Type en los encabezados. Estos encabezados garantizarán que el navegador responda de la forma prevista y que no esté siendo explotado.
- También debe codificar sus datos cuando se generan. Cuando los datos de un usuario se generan en una respuesta HTTP, la salida debe codificarse para evitar que se identifique como contenido activo.
- Por último, asegúrese de utilizar una Política de seguridad de contenido. Si tiene un CSP configurado con el conjunto correcto de reglas, podrá evitar que el navegador ejecute operaciones no deseadas o cualquier código JavaScript que pueda provenir de una fuente que no sea de confianza.
Ataques de falsificación de solicitudes entre sitios (CSRF): ¿qué son?
Un XSRF o CSRF es un ataque bien conocido en el que el pirata informático intenta suplantar o asumir por completo la identidad de la víctima secuestrando su cookie de sesión activa. Este ataque es posible cuando el sitio de destino intenta autenticar una solicitud utilizando únicamente cookies, lo que permitirá al pirata informático obtener acceso o secuestrar las cookies funcionales para parecer un usuario legítimo.
Este ataque puede ser muy perjudicial para la víctima y puede provocar fraude, manipulación de cuentas o robo de datos. Los objetivos más comunes son aplicaciones web populares, como redes sociales, interfaces web, banca en línea y clientes de correo electrónico en el navegador.
Utilicemos como ejemplo la situación de la banca en línea.
La mayoría de los sitios web bancarios utilizan cookies de sesión activa para autenticar las solicitudes de los usuarios. Luego, estas cookies siguen el orden de eventos para iniciar sesión en la cuenta bancaria, ingresar los detalles válidos necesarios y luego hacer clic en el botón de transferencia.
Cuando un usuario inicia sesión en la cuenta, el sitio web del banco almacenará una cookie de sesión a la que hará referencia para autorizar las transacciones.
El truco
Para iniciar el ataque, el hacker necesitaría crear un sitio web que parezca legítimo pero que tenga una agenda subyacente. Para este ejemplo, utilizaremos un sitio web de blogs. Si el usuario inicia sesión y desea crear una nueva publicación de blog, la aplicación maliciosa que se ejecuta en segundo plano enviará una solicitud “GET” al sitio web del banco. Este truco sólo es útil cuando el usuario también ha iniciado sesión en el sitio bancario. Si es así, los tokens de sesión estarán activos y en su lugar.
Luego, el pirata informático manipulará la solicitud “GET” para operar el sitio bancario de manera sigilosa. Una vez que el usuario hace clic en el botón para agregar una publicación de blog, también transferirá dinero sin saberlo a la cuenta del pirata informático.
¿Cómo puede ser prevenido?
- Siempre debe utilizar SameSite Cookie Attribution cuando trabaje con cookies de sesión.
- El sitio también debe verificar tanto el encabezado como el origen del referente.
- Intente implementar cualquier interacción del usuario que se base en la protección, especialmente para procedimientos altamente sensibles como la banca. La interacción del usuario basada en la protección debe incluir una reautenticación (generalmente una contraseña), un CAPTCHA o incluso un token de un solo uso. Estos pasos pueden ser defensas sólidas contra un ataque CSRF si se usan correctamente.
La seguridad de JavaScript es un tema del que no se habla a menudo; sin embargo, es muy esencial para muchas profesiones. Aprender a ejecutar JavaScript de forma segura y correcta no es algo que la mayoría de las personas puedan aprender de la noche a la mañana.
Cuando desee probar o actualizar su seguridad de JavaScript, se recomienda encarecidamente buscar la ayuda de un profesional certificado o un especialista en seguridad cibernética . Estos profesionales le brindarán una comprensión mejor y más detallada de sus riesgos de seguridad y qué acciones puede tomar para corregirlos. Tomarse en serio la seguridad de su sitio web no es una tarea fácil y requiere un mantenimiento constante. Sin embargo, si toma precauciones, sus usuarios podrán navegar sabiendo que están utilizando un sitio seguro.