Script Injection

• Categoría:

• InputValidation

• Referencia:

• OWASP-IV001

Descripcion:

Esta prueba identifica vulnerabilidades que permiten a un atacante inyectar scripts maliciosos (como JavaScript o VBScript) en la aplicación, asegurándose que las entradas del usuario no se procesen ni ejecuten como scripts.

Herramientas recomendadas:

• OWASP ZAP (Zed Attack Proxy)

Recomendaciones para realizar la prueba:

Los atacantes intentan introducir código malicioso en campos de entrada de la aplicación como formularios, URL o cookies. Si la aplicación no valida o escapa correctamente estas entradas, el código malicioso puede ejecutarse en el navegador de los usuarios, permitiendo robo de información, manipulación de interfaces o incluso control remoto del navegador. Se recomienda configura OWASP ZAP para interceptar el tráfico de la aplicación, realizar un escaneo automatizado para detectar posibles puntos vulnerables a inyección de scripts, analizar los resultados y corregir cualquier vulnerabilidad encontrada.

Validar y limpiar todas las entradas del usuario antes de procesarlas o mostrarlas en la aplicación y codificar correctamente los datos que interactúan con el HTML o el navegador. Implementa políticas como Content Security Policy (CSP) y limita los datos que se permiten en las entradas del usuario para minimizar el riesgo. Simula inyecciones de scripts en diferentes campos de la aplicación para identificar posibles vulnerabilidades